ВТБ24. Безопасность телебанка

    Давно пользуюсь телебанком ВТБ24.

    Для работы предлагается две схемы защиты — карта переменных кодов и цифровой сертификат (в связке с ПО Inter-PRO).
    Я использую карту переменных кодов, и каждый раз подписывая платёжки в банке, выслушиваю лекцию о том, как мне станет хорошо, если я перейду на использование цифрового сертификата.
    С картой переменных кодов работать удобнее по банальной причине — телебанк можно использовать на любом устройстве, в том числе на том, где нет возможности установить искомое ПО. Самые яркие примеры — компьютер в интернет кафе (или в гостях), коммуникатор, неправильная ОС (как правильно заметили в комментах).
    Основное преимущество же цифровой подписи — увеличенные лимиты платежей и усиленная безопасность. Как раз безопасность и вызывает у меня сильные сомнения, о чем я и хочу поделиться с тобой, %username%, своими мыслями.

    Ниже перечислены плюсы использования цифровой подписи из листовки банка.

    1. вы можете быть уверены что подключились к ВТБ24, а не к сайту очень похожему на него
    2. хакер не устроит вам атаку Man in the middle (aka «Человек посередине»)
    3. к серверу ВТБ24 не подключится под видом клиента злой хакер

    Рассмотрим эти пункты в разрезе двух схем — переменные коды и цифровой сертификат.
    Пункты 1 и 2 на самом деле схожи на 90%. На деле все сводится к сравнению: SSL против… какого-то там протокола. «Какой-то там» протокол, вероятно, более устойчив к «Man in the middle», потому что сессия шифруется с самого начала (точно не уверен, но иначе шаманство с Inter-PRO вообще теряет всякий смысл).
    Пункт 3, на мой взгляд, основной камень в огород «усиленной безопасности». Предлагаю сравнить что должен сделать искомый хакер в том и другом случае, чтобы подключиться под видом клиента.

    Цифровой сертификат. Сам сертификат крадётся трояном. Если он защищен каким-то паролем, то троян должен уметь украсть ваш пароль. Ничего сверхъестественного.

    Карта. Надо украсть пароль, опять же трояном. Но, внимание — пароль бесполезен без офлайновой (и вообще не цифровой по своей сути) карты. Хакеру надо завладеть еще и вашей картой.

    Итак, в пунках 1 и 2 выигрывает цифровой серификат. В пункте 3 — карта кодов. Сравнение схем безопасности сводится к сравнению вероятности возможных атак.
    Во что вы верите больше — в мифического хакера, сидящего между вами и банком, который вклинивается в ваше с банком SSL соединение или в троян, ворующий ваш сертификат?
    Я свой выбор сделал — я не верю в мифического хакера, но верю в троян. Мой выбор — карта переменных кодов.

    P.S. После написания, показал статью жене, и она сказала, что при использовании схемы с Inter-PRO уже пару месяцев также требуется ввод кода с карты переменных кодов. Все встаёт на свои места. Но я останусь на текущей схеме из-за коммуникатора.
    Поделиться публикацией

    Комментарии 142

      +2
      Ну как-бы… В общем и целом критическая мысль — это хорошо, но вот малое знание предметной области огорчает.

      З.Ы. Еще один + в сторону карты переменных кодов — возможность не пользоваться софтом, разработанным только для одного семейства ОС. Очень уж больно пытаться чего-то добиться от Inter-PRO. Есть клиент этого софта под *nix?
        +1
        но вот малое знание предметной области огорчает

        где-то есть ошибки?
          +1
          Не пользовался телебанком, но уже несколько лет работают с системами защищенного документооборота, и вот какие у меня соображения:

          > Сам сертификат крадётся трояном.

          Сам сертификат не представляет никакой ценности, это открытая информация. Для дискредитации цифровой подписи необходимо получить доступ к закрытому ключу, что усложняет задачу. А при грамотном администрировании серьёзно усложняет. Под грамотным администрированием, я подразумеваю настройку прав доступа и использование физических носителей для хранения закрытого ключа (дискетки, различные токены и т.п.)

          > надо завладеть еще и вашей картой
          > в мифического хакера, сидящего между вами и банком, который вклинивается в ваше с банком SSL соединение или в троян,
          > ворующий ваш сертификат

          при использовании сертификата вся передаваемая вами информация шифруется вашей ключевой парой, а при использовании карты, скорее всего используется сессионный ключ, который гораздо проще украсть чем закрытый ключ, и которго будет достаточно для совершения операций от вашего имени в рамках текущей сессии
          • НЛО прилетело и опубликовало эту надпись здесь
              0
              не знал. спасибо.
            0
            Клиента под никсы нет. Хотя под вайном надо попробовать…
              +1
              Работает на ура.
            +3
            Мы в Банке предлагаем клиентам либо карты паролей либо USB-Токены.
            Завладеть ЭЦП клиента можно если физически иметь токен и еще пароль к нему.
              0
              А вы не знаете где можно почитать про использование usb-токенов в своих программах (должно же быть у них какое-то API)? А то у меня есть один (подаренный VeriSign на одной из олимпиад по программированию), а как с ним что-нибудь сделать — не знаю.
                0
                Можно поискать информацию на сайте производителя. Просто сами мы их не программируем, нам уже готовые поставляют.
                  –2
                  www.cryptopro.ru (не сочтите за рекламу)
                    –1
                    де факто — бредовое, бессмысленное, ненужное УГ этот ваш криптопро…
                    сумрачное порождение российского законодательства.
                    0
                    Вероятно у вас токен умеет ISO7816-4 и с ним можно общаться на уровне PC/SC интерфейса(тупо — ридер и карточка в одном корпусе), попробуйте.
                    0
                    Пароль не обязателен, зависит от степени физической защиты вендром и также возможности напрамую читать нужные ему области памяти. Поэтому в зависимости от вендора зависит скорость получения нужной информации на токене, но если пропажу обнаруживаеш быстро и сообщаеш о ней то к тому моменту сертификаты как известно будут анулированы.
                    www.comms.scitech.susx.ac.uk/fft/security/usb_hardware_token.pdf
                      0
                      Спасибо, почитаю )
                    +2
                    зачем трояну красть пароль, если можно внедриься в уже открытую собственноручно вами сессию? Поэтому ни карта переменных кодов, ни цифровой сертификат сами по себе не являются гарантией защищенности, это просто маркетинговая уловка.

                    Теоретически гарантию безопасности может давать грамотная реализация архитектуры банк-клиента (затрудняющая перехваты внутри системы — это реально), но из листовок и технической документации такие технические нюансы не почерпнешь.
                      +2
                      зачем трояну красть пароль, если можно внедриься в уже открытую собственноручно вами сессию? Поэтому ни карта переменных кодов, ни цифровой сертификат сами по себе не являются гарантией защищенности, это просто маркетинговая уловка.

                      Представляете себе как работает КартаПК? Чтобы провести какую-то операцию надо ввести ПК с карты. Поэтому внедрившись в сессию счастья вы не получите. Именно об этом я и пытался повествовать.
                        +1
                        Как это не получу?
                        Вы вбиваете код, а я формирую свою транзакцию в текущей сессии и подставляю введенный код.
                        Или коды запрашиваются не подряд, а для каждой транзакции случайным образом?
                          +1
                          Коды запрашиваются подряд.
                          Я согласен с тем, что правильный троян делающий MitM прямо у вас на компе это пожалуй фатально.
                          Для Inter-PRO впрочем тоже. По этому пункту ничья. :)
                            0
                            Коды запрашиваются подряд с карты, но сами коды случайные. Код применяется уже к подготовленной транзакции, если вы захотите другую транзакцию сформировать, то код надо будет ввести следующий по карте (но он случайный!)
                              0
                              Только что проделал следующее:
                              * Зашёл в телебанк
                              * Заполнил инфу по операции «Снятие с ПК банка»
                              * Увидел картинку с номером кода (код не воодил)
                              * Выбрал другую операцию, заполнил её.
                              * Номер кода на картинке был тот же

                              Кстати это пожалуй отличная идея — не показывать картинку дважды в принципе.
                              Расход кодов увеличится, но надёжность «немного» возрастёт.
                                0
                                Неизменится надежность.
                                Я сидя в середине буду просить код заранее, сразу под сформированную мной «левую» транзакцию. Естественно под видом кода для вашей транзакции.
                                  0
                                  Я это прекрасно понимаю, и именно поэтому написал «немного».
                                  Трояна сложнее будет написать — там есть многостраничные операции, всё это надо будет учесть. ;)
                                  +2
                                  полагаю, надежность наоборот ухудшится.
                                  если я нахожусь в середине, то запрошу несколько последовательных переменных кодов (запрошу новый код, например, имитируя ошибку клиента).
                                  это позволит мне самостоятельно провести процедуру авторизации, а также выполнить произвольные операции над счетам.и
                                    +2
                                    Сталкивался я с ВТБ и их схемой с Интер-Про, взлом акка сводится к элементарной банальщине. Схема у них такова: интер-про прописывает в браузере прокси, указывающий на локалхост и свой порт, а там уже (только там!!!) шифрует данные и интер-про отправляет их куда подальше. Одним словом, 15-минутный троян: хттп прокси-сервер с подменой запросов.
                                    Возьмём схему посложнее: задача не подменять запросы на свои, а вовсе спереть ключи и пароли:
                                    1) Считываем путь к хранимым ключам из *.ini файла, если файлы не доступны — ожидаем доступности. (ключи на флешке или дискете)
                                    2) Ставим хук на событие CreateWindow и как только получаем окно с заголовком, содержащим текст «ВТБ 24» запускаем кейлоггер (всё с помощью того же хука, но уже на нажатие клавиш), стягиваем пароли, полученную инфу шлём на емейл раз в 2 часа.
                                    Выводы делаем сами, защита у них никчёмная.
                                      0
                                      Можно ключи хранить на токене, Интер-Про это позволяет. В таком случае увести ключи не получится. Трояну останется только подменять данные при проведении транзакции. Но этого тоже можно избежать, всего навсего будучи внимательным: перед подписью демон и-про показывает данные подписываемой операции, в т.ч. и номера счетов. Вообще, раньше у них (еще в Гутабанке) был криптодевайс, генерирующий переменные коды. Вот это была занятная штука.
                                    0
                                    К сожалению, это фича телебанка. Я бы даже сказал бага. Если вы теперь введете код на первой операции, то выполнится вторая. Приложение получается модальное.
                            0
                            Подключил себе сертификат почти сразу с телебанком, пользуюсь им не всегда. Но он удобен, когда надо произвести 3-4 оплаты, чтобы тратить один код на сессию, а не по одному на операцию, а то так в банк за карточками бегать замучаешься.
                            При этом оставил возможность работать только с карточками, в основном тоже из-за коммуникатора.

                            Насчет интер-про у меня давно есть подозрение, что, поскольку он встраивается как прокси, можно подключиться между ним и браузером. Но утверждать не берусь, никогда не имел дела с такими штуками.
                              0
                              Надо проверять реквизиты операции в таблице перед подписью, на совпадение с введёнными в браузере.
                              0
                              По поводу ВТБ (сам юзаю цифровую подпись, так понимаю, что речь про ЮЛ идет). Процесс несколько геморный, но в целом, очень хорош для персонального компьютера (а-ля ноутбук): на нем лежат ключи, телефон всегда с собой.

                              Доступ с чужого компьютера с счету ЮЛ считаю просто недопустимым. Если я своему компьютеру могу доверять постольку поскольку (пока на нем нет вирусов и троянов), то как мне чужому-то довериться?

                              Оба варианта (цифровой сертификат и карта) примерно одинаковы по степени защиты. Но годятся при разных условиях. Кому как удобнее.
                                0
                                речь идет о физ.лицах
                                  0
                                  а при чем здесь платежки?
                                    0
                                    физики тоже могут делать платежки )) только это называется Рублевый перевод.
                                      0
                                      сколько беспредела в нашей стране? :)
                                        0
                                        Причем тут беспредел? :) Физики вполне законно могут делать переводы.
                                0
                                Да, именно поэтому для толстых дядек, которые сначала по проносайтам поползали, а потом пошли платить в телебанке, заимев узкоспециализированных троянов, и ввели обязательное подтверждение транзакций с помощью КартыПК. Поэтому сейчас сертификат просто позволяет тратить 1 код на весь сеанс, нежели без него.

                                С другой стороны втб тоже скряги, нет чтобы ввести УПИ на оплату наиболее популярных услуг напрямую с зарплатных карт, так нет, они заставляют сначала перевести деньги на счет в телебанке, а уже потом с него платить.

                                А вообще, посмотреть на календарь — 21 век.
                                А эта inter PRO спустилась со времен Короля Артура, не позже. Писал им об этом, говорят «Да, да, знаем, жалуются, но пока так.»
                                  0
                                  Поэтому сейчас сертификат просто позволяет тратить 1 код на весь сеанс, нежели без него.

                                  А узкоспецивлизированные трояны научились запрашивать по два кода и один из них посылать владельцу трояна? :)
                                    0
                                    да, именно об этом в рассылке ВТБ и говорится.
                                    От такой схемы мошенничества банк и предупреждает, говоря, что никогда не требуют вводить следующий код с карты, якобы потому, что первый ввели неверно.
                                      0
                                      В общем смысл комментария в том, что карта пер. кодов значительно повышает безопасность транзакции, а сертификат просто позволяет экономить коды и повысить лимиты.
                                        0
                                        в какой рассылке?
                                          0
                                          В информационной рассылке системы «ТелеБанк»:

                                          01.12.2009
                                          Внимание: особенности работы в системе «Телебанк»/«Телеинфо» через Интернет

                                          Обращаем ваше внимание, что система «Телебанк»/ «Телеинфо» никогда не предлагает в случае неправильного ввода переменного кода ввести переменный код со следующим номером. При неправильном вводе переменного кода запрашивается ввод того же переменного кода, и после трех попыток ошибочного ввода переменного кода дистанционный доступ к системе временно блокируется.

                                          Если у вас при входе в систему «Телебанк» или при подтверждении операции на экране появилось сообщение о неправильном вводе переменного кода и запрошен переменный код со следующим номером, не вводите следующий переменный код и проверьте свой компьютер на наличие вирусов и троянских программ.
                                          Также обращаем ваше внимание, что система «Телебанк»/«Телеинфо» никогда не предлагает вам вводить CVV-код вашей банковской карты (трехзначный номер на обороте карты), а также PIN-код.

                                          Вниманию клиентов «Телеинфо»: 1-3 декабря ВТБ24 будет дополнительно произведена персональная рассылка информации о мерах безопасности в системе «Телеинфо» по электронной почте и SMS. По e-mail рассылка будет осуществляться с адреса службы поддержки telebank@vtb24.ru, по SMS – от адресата VTB24.
                                          Просим вас ознакомиться с данной информацией и использовать ее в дальнейшей работе.

                                          Дополнительно для обеспечения сохранности своей конфиденциальной информации рекомендуется следовать Памятке по обеспечению безопасности в системе «Телебанк».
                                            0
                                            как интересно… а что нужно сделать, что б приходила рассылка? ни по почте ни по sms ничего мне не приходит подобного.
                                              0
                                              Я это прочитал на странице новостей в системе. Рассылки настраиваются в разделе «Профиль клиента» — «Система оповещений» (старая морда, в новой может по другому называться).
                                                0
                                                ок, сенькс, буду посмотреть.
                                                0
                                                В настройках включаются уведомления на e-mail, там, на сколько я помню, можно поставить галку для получения новостей.
                                                0
                                                Охохооо! А мне никаких рассылок не приходило, хотя я подписан на них…
                                        +2
                                        Я являюсь клиентом втб24 банк хорош, но карта переменныйх кодов меня немного парит :)

                                        Куда удобнее это сделано у Альфабанка и его альфакликом :)
                                          0
                                          Почитал про альфаклик. Понравилось.
                                            0
                                            Вы еще не пользовались Ситибанком там вообще не надо никаких карт и подтверждений по смс :)
                                              0
                                              > там вообще не надо никаких карт и подтверждений по смс

                                              И я не вижу в этом никаких плюсов. Как они реализуют безопасный доступ к своему интернет-банкингу?

                                              Или это был камень в огород Ситибанка :-)
                                                0
                                                Это плюс к удобству, возможный минус к безопасности, но Citigroup по размерам капиталов уж никак не меньше втб, а так не заморачивается :) там заводится специальный логин/пароль с привязкой к карте которые и используются, все транзакции требуют ввода пароля и все…
                                                  +1
                                                  Ясно, тогда хорошо, что я не выбрал Ситибанк, когда делал себе карту. Странно, что не заморачиваются, для меня это минус.
                                                    0
                                                    Единственная защита у них это ввод пароля от аккаунта с «картинки». Но по моему тоже не самый лучший метод, поскольку картинка находится всегда на одном и том же месте и легко можно отловить место нажатия клавиш.
                                                      0
                                                      врете!
                                                      ту картинку можно двигать мышкой.
                                                    0
                                                    В ВТБ тоже можно отменить у себя переменный код. Будет только УНК+ пароль
                                                +1
                                                Пользуюсь и Альфакликом, и Телебанком — мне больше нравится SMS-авторизация Альфаклика, телефон всегда под рукой и ничего стирать не надо :)
                                                  +3
                                                  У Альфы систему подтверждения через СМС уже ломали. Но дыра была не со стороны Альфы, а со стороны сотового оператора. В случае взлома — облажался МТС, выдал дополнительную симку мошеннику.

                                                  К тому же если вы за границей, тут альфа-клик становится бесполезным, потому что Альфа не шлет смс-ки абоненту в роуминге.
                                                    0
                                                    «Граждане, храните деньги в сберегательной кассе!»
                                                      0
                                                      хммм. а как она это может проверить? просто интересно. у них настолько тесные онтношения со всеми операторами? или есть какой-то способ при отправке указать — home network only?
                                                        0
                                                        Слать-то она, может, и шлёт, но в Абхазию, например, никакие SMS вообще не доходили, не только от Альфа-банка.
                                                          0
                                                          Это косяк оператора.
                                                          Да и еще один косяк — когда у меня кончились деньги на телефоне, я хочу заплатить за него, а смс не доходит. Что делать? :)
                                                            0
                                                            Да и еще один косяк — когда у меня кончились деньги на телефоне, я хочу заплатить за него, а смс не доходит. Что делать? :)
                                                            Раньше из большой тройки только у МТС такая беда была, когда с нулевым/отрицательным балансом SMS нельзя было получить. А потом это пофиксили и можно получать SMS независимо от состояния баланса.
                                                            Сейчас у каких-то мобильных операторов сохранились такие проблемы?
                                                        0
                                                        ну-ка ну-ка!
                                                        и как он это узнает?
                                                        или он сначала пограничникам звонит? а не выезжал ли такой за границу?
                                                        0
                                                        До тех пор, пока к вам ходят смски :)))) А я вот недавно обломался с альфакликом. Требую разовый код, а он не идет :(((( Видимо какой то косяк был у сотового оператора.
                                                        +2
                                                        вся фича Inter-PRO — это соотвествие стандартам ГОСТ Р 34.10-2001/ГОСТ Р 34.11-94/ГОСТ 28147-89; — которые необходимы(!) для соотвествия требования защиты персональных данных (152 ФЗ, от 27 июля 2006 года) + насколько мне извесно требованиям ЦБ на тему оказания дистанционных банковских услуг.
                                                        Но поскольку люди там не идиоты, они дают возможность работать со стандартным SSL-ем, на этот счет у ЦБ не будет тоже особых претензий, при условии двух факторного подтверждения платежа (как раз это и есть карта переменных кодов)
                                                        именно в этом и заключается вся «магия».
                                                          –2
                                                          Не увидел ни одного упоминания про одноразовые коды, посылаемые по СМС. Уже полгода ВТБ24 использует эту технологию, а недавно вообще всех в обязательном порядке перевели на нее. То есть вы логинитесь на сайте со своими данными + сертификат (правда работает только в ИЕ), далее банк шлет шестизначный код вам смской, вы его вводите и ура. Как вам такой вариант?
                                                            –2
                                                            Альфаклик выше в комментах — тоже самое. Работает только в IE — для меня сразу нет. :(
                                                            С точки зрения темы поста — эта схема избавлена от большинства недостатков безопасности цифрового сертификата, на которые я сетовал.
                                                              0
                                                              Альфаклик работает в фоксе, в сафари и в хроме.
                                                                0
                                                                В опере тоже работает.
                                                                0
                                                                > Работает только в IE — для меня сразу нет. :(

                                                                у меня работает и в FF
                                                                  0
                                                                  в сафаре и в файрфоксе работает, в том числе и на маке. сам пользуюсь.
                                                                    0
                                                                    ну и в хроме тоже, да, чуть выше об этом уже написали.

                                                                    самое интересное в альфе, что на любую внешнюю транзакцию вы тоже получаете код смской!
                                                                  0
                                                                  принудительно перевели??? Никогда не видел на сайте ВТБ24 ничего подобного.
                                                                    0
                                                                    Добровольно-принудительно, скажем так. Но мы видимо говорим о разных вещах. Я имел ввиду клиент-банк для юрлиц. Там сразу после логина висит сообщение: с ХХ-ХХ-2009 вход без ввода переменного кода (тот который приходит по смс) невозможен.
                                                                      0
                                                                      А, да, юрики другое дело.
                                                                      Хотя для физиков такая штука была бы также очень полезной.
                                                                    0
                                                                    Принудительно? Интересно, куда они мне будут высылать смс мне, при отсутствии у меня мобильного.
                                                                      0
                                                                      Одно дело если у вас на карточке болтается постоянно всего 500 р, а для организаций с многими миллионами на счете — не составит труда купить мобильник даже просто для входа в банк-клиент в целях безопасности.
                                                                        0
                                                                        Почему вы решили, что у меня там тоже не может быть миллионов? ВТБ один из моих брокеров, поэтому у меня там бывают далеко не 500 рублей, но сотовой связью я в принципе не пользуюсь и легко уйду из банка если он будет навязывать мне подобные условия.
                                                                      0
                                                                      В firefox тоже все отлично работает, правда нужно поставить плагин foxyProxy и настроить редирект на внутренний прокси интерпро для сайта телебанка
                                                                      0
                                                                      Ну вообще-то InterPRO сам по себе бесполезен (лишь дополнительная шифрация и безопасность) и без ввода кода с карточки тебя в Телебанк не пустят.
                                                                        0
                                                                        В настройках телебанка можно отключить принудительный ввод кода при входе в систему.
                                                                          0
                                                                          Но получишь доступ read-only. С недавних пор перед проведением любой финансовой операции выскакивает запрос переменного кода (уже после входа в ТБ).
                                                                          +1
                                                                          меня пускает.
                                                                          что я делаю не правильно?
                                                                            –2
                                                                            Позвони в службу поддержки Телебанка, там работают вполне адекватные люди.
                                                                              0
                                                                              спасибо, но я и сам способен разобраться.
                                                                              а вы, судя по посту нет.
                                                                              это все включается в настройках на сайте.
                                                                              логиниться можно без кода, только по паролю.
                                                                          0
                                                                          КПК просты и понятны народу, а сертификаты — нет. и банк сам признал ущербность системы с Inter-PRO, заставив всех его пользователей дополнительно вводить код с КПК.
                                                                            0
                                                                            а мне нравиться как сделано в системе Приват24: пароль пользователя + переменный код, отсылаемый на зарегистрированный в системе номер телефона пользователя. Не зная кода и не имея мобилки клиента попасть в систему нельзя. Ну разве что воспользоваться популярными донедавна «перехватчиками СМС», что согласитесь, еще более мало вероятно чем хакер посередине канала и троян.
                                                                              +2
                                                                              Блин. Все велосипеды, велосипеды, велосипеды…

                                                                              Что Parex лет 8 назад, что UK банки — уже давно дают спец. устройство.
                                                                              вставил в него карточку свою дебитовую, ввел пин код свой от карты — получил одноразовый код 6-значный для входа в банкинг.

                                                                              Все «карточки кодов», «трояны» и прочее идет лесом. Тупо и эффективно. Выдают такие устройства всем.

                                                                              www.barclays.co.uk/pinsentry/

                                                                              А в России тем временем начали чипы внедрять на карты… :) Добро пожаловать в 20-й век.
                                                                                0
                                                                                Это всё прелести EMV с поддержкой различных приложений на чипе. Да и в UK довольно давно уже у всех чиповые карты. Но в любом случае, остаётся опасность MITM, не для увода ключей, а для прозрачной подделки данных транзакции «на лету».
                                                                                  +1
                                                                                  Для это существует макирование транзакции, при этом макировать нужно не какой-то хеш транзакции, а именно сами данные, которые вы ввели.

                                                                                  То есть при таком подходе у нас остается только проблема, что злоумышленник пожет посмотреть наш ебанк, но ничего сделать не в состоянии.
                                                                                    +1
                                                                                    MITM в данном случае опасен на самом компьютере жертвы. Вполне реально заделать хитрый специализированный троян, который будет перехватывать ввод/вывод. Т.е., клиент будет взаимодействовать не с криптосистемой, а с некой подделкой-прокладкой. А эта «прокладка» будет криптосистеме скармливать уже свои данные. Этому подвержены все поделия на базе СМС-ок, карт переменных кодов, криптосистем типа Интер-ПРО и криптосистем на основе обычного ридера смарт-карт (PC/SC-style) или USB-токенов.

                                                                                    От этого может помочь аппаратный модуль, в виде ридера смарт-карт с пин-падом и дисплеем. Сгенерированная банк-клиентом платежка отправляется на этот девайс, он ее обрабатывает и перед подписью высвечивает на дисплей данные транзакции, и требует ввести ПИН-код и часть данных (допустим, несколько цифр счета получателя платежа). В таком случае, клиент точно знает, что подписывает. После ввода запрашиваемых данных, девайс самостоятельно подписывает платежку и отправляет пакет уже в банк-клиент на компьютер, где он отправляется в банк для исполнения. Именно идея выноса криптографического модуля за пределы компьютера и помогает не попасться на троян-прослойку. Здесь главное вынести за пределы компьютера не только криптопроцессор (смарт-карта), а еще и ПИН-пад (чтобы троян-кейлоггер не перехватил ввод с клавиатуры) и средство отображения (дисплей, показывающий данные финальной платежки и требующий ввести часть данных). Где-то так, по-моему.

                                                                                    Кстати, у American Express есть продукт один интересный. У них есть чиповая карта, «Blue Card» называется, к ней можно докупить фирменную клаву производства Cherry с картридером и встроенным секурным ПИН-падом. Т.е., ПИН-код не попадает в компьютер, он не выходит за пределы ридера клавиатуры, по принципу, как у банкоматов.
                                                                                      0
                                                                                      Именно так, необходимы устройства, которые не подключаются к компьютеру. Кард-калькуляторы с клавиатурой подходят на эту роль.
                                                                                        0
                                                                                        Почему же, они вполне могут подключаться к компьютеру, это не страшно.
                                                                                        Совсем не страшно, если оно будет иметь USB-порт, через который будет скидываться в устройство платежка и пересылаться обратно уже подписанная. Для этого нужно простейшее API. Самое главное, не выставлять наружу кишки и ПО девайса.

                                                                                        Кстати, в Телебанке были автономные крипто-калькуляторы, но без ридера. После прихода ВТБ на смену Гуте видать новые админы их не осилили.
                                                                                          0
                                                                                          устройства, которые не подключаются к компьютеру, работают для любого браузера, любой ос и любого интернет-кафе
                                                                                            0
                                                                                            Это да. Но банк не получит подписанного и закриптованного по всем правилам распоряжения. Можно сделать данный девайс с возможностью работать в двух режимах: автономной и при подключении к компьютеру. В первом случае строже проводится авторизация в банк-клиенте и накладываются ограничения на суммы перевода. Во втором можно даже авторизовываться в банк-клиенте через криптодевайс, не вводя логин и пароль в браузере.
                                                                                            Всю эту благодать можно сделать на той же яве, которая может работать практически везде. Соединение можно сделать USB и BlueTooth, а на девайсе эмулировать обыкновенный последовательный порт.
                                                                                              0
                                                                                              Интересно, почему банк, а также Visa и MasterCard удовлетворяют транзакции, пришедшие от банкомата, хотя там никакой подписью и не пахнет, а только аутентифкация владельца карты PINом, а вот для интернет-банкинга им нужен ЭЦП и прочая фигня, причем по ГОСТам?
                                                                                                0
                                                                                                Ну, в банкоматах все аппаратно шифруется, а ПИН вообще никуда за пределы ПИН-пада не выходит. Не зря PCI DSS выдумали. Там вообще, большая часть действий по шифровке/дешифровке и пр. выполняется аппаратно, не задействуя компьютера, который показывает клиенту GUI. Здесь все, к счастью, достаточно жестко стандартизировано.
                                                                                                В случае с банк-клиентами, тут уже все работает по принципу «кто как хочет, тот так и дрочит». От ЦБ обязательное условие: использовать ГОСТ, а реализация уже на усмотрение банка. Что уж тут говорить, если в ВТБ24 у операционистов несколько абсолютно несвязанных учетных систем, некоторые из которых до сих пор под досом работают.
                                                                                  0
                                                                                  А, по-моему, это не очень удобно. Лучшая, на мой взгляд, реализация у Альфа-банка — каждый раз уникальный пароль по sms на номер мобильного телефона.
                                                                                    0
                                                                                    И что же неудобного? ;)))
                                                                                    Неудобно — быть завязанным на сотовый

                                                                                    0) дали по морде, забрали сотовый (или выхватили, или украли, или ...)
                                                                                    1) сели батарейки (в девайсе — батарейки работают года 4)
                                                                                    2) отключили (особенно в Роуминге — сколько раз с этим гребаным альфабанком были такие истории). Только не надо «денег больше клади на сотовый» — у меня МТС «европейский» и эти отморозки уже полгода не могут сделать так чтобы SMS нотификация о балансе приходила раньше чем происходит отключение (слишком большая сумма ежедневно списывается и биллинг встает раком)
                                                                                    3) роуминг тупо отсутствует или СМС глючит

                                                                                    и тд и тп.

                                                                                    IMHO — очередное изобретение совкостроительства.
                                                                                      0
                                                                                      0) У Альфа-банка двойная защита. Первая — статические логин/пароль, которые не меняются, вторая — сгенерированный пароль, приходящий по sms.

                                                                                      Злоумышленники, если захотят попасть в мой интернет-банкинг, должны будут упереть вместе с телефоном ноутбук и взломать сначала ОС. А потом еще найти на дисках криптоконтейнер с паролями и подобрать пароль к нему.

                                                                                      1) Если сел аккумулятор и его негде подзарядить, то для меня это значит, что рядом нет компьютера (зарядка по miniUSB). А без компьютера попасть в интернет-банкинг тоже затруднительно.

                                                                                      2) При отключении на мой тариф и на большинство других тарифов все равно можно звонить и присылать sms.

                                                                                      3) У меня ни разу не было такого, что не было роуминга. Возможно где-нибудь в Танзании его у меня и нет, но на это мне в общем-то пофигу, я там не бываю.

                                                                                      Сотовый у меня всегда рядом в отличии от внешнего устройства, которое создано только для доступа в банкинг. И, на мой взгляд, это устройств как раз-таки шаг назад. Лично мне удобнее получать смс, чем таскать с собой еще один девайс.
                                                                                        0
                                                                                        Буду краток :)

                                                                                        0) троян
                                                                                        1) ага, и все кабеля все время с собой. и чумадан с батарейками
                                                                                        2) странно вот — у меня один из самых дорогих тариф из существующих в России, но все равно при отключении в _роуминге_ не приходят смс — даже в сети не регистрируется :D (на самом деле — это для всех операторов)
                                                                                        3) есть куча мест, где сеть есть и говорить можно — но смс не приходят. например такое происходит если роумить московский МТС в английском t-mobile.

                                                                                        сопрут деньги (учитывая с какой «охотой» русские банки их возвращают) — задумаешься где же есть шаг назад :D
                                                                                          0
                                                                                          против кода по sms лучше всего говорят факты воровства. Это дело уже давно хакнуто, но по понятным причинам замалчивается.
                                                                                            +1
                                                                                            А можно поподробнее про факты воровства?
                                                                                              –1
                                                                                              По понятным причинам подробней нельз. тут уже упоминалось про секьюр-проблемы на уровне МТС. Я же сужу по истеричным попыткам Альфы найти замену sms-подходу.
                                                                                                +1
                                                                                                Обычно, когда говорят по «понятным причинам», то причины совершенно не очевидны. Так вот я не вижу никаких причин не раскрыть подробности.

                                                                                                Про истеричные попытки Альфы я тоже ничего не слышал, хотя стараюсь следить за темой интернет-банкингов, защиты и т.д.
                                                                                                  +1
                                                                                                  Причины заключаются в том, что банк из-за репутационных рисков не раскрывает, такие факты, и всячески препяствует появлению подобной информации в интернете. Мошенники тоже не афишируют свои успехи. От кого вы ожидаете получить подобную информацию?

                                                                                                  А про попытки Альфы узнавайте у интеграторов, к которым она обращалась с просьбами решить эту проблему.
                                                                                                    +3
                                                                                                    для вас любопытный товарищ:
                                                                                                    Потом выяснилось, что в офис МТС 28 марта обратился человек с письмом от компании, где работает клиент Альфа-Банка (у него служебный телефон), и попросил перевыпустить sim-карту. Компания утверждает, что такого письма не выдавала.

                                                                                                    Аналогичную историю рассказал другой пользователь «Альфа-клик» — с его счета 28 и 29 марта также было списано 100 тыс. и 99 тыс. рублей. А в офисе «МегаФона» сказали, что перевыпустили sim-карту на основании якобы выписанной абонентом доверенности.


                                                                                                    www.rb.ru/topstory/incidents/2009/04/14/093003.html

                                                                                                    Записи самого автора-жертвы мошенников были опубликованы на сайте Banki.ru
                                                                                                    Но сейчас их уже нет. Видимо, Альфа урегулировала ситуацию и попросила администрацию сайта и самого клиента отозвать негативный отзыв.
                                                                                                      0
                                                                                                      Вот это уже другое дело, спасибо за информацию.
                                                                                        0
                                                                                        в России наоборот отказываются от чипов — мне ВТБ24 перевыпустил карту уже без чипа.
                                                                                          0
                                                                                          Кризис, удешевления, увольнения ;)))
                                                                                            0
                                                                                            Может, карточка из старых запасов? Нашли на складе неиспользованные болванки, решили пустить в оборот (что добру пропадать). ))
                                                                                              0
                                                                                              что дает чип на карте?
                                                                                                0
                                                                                                что дает чип на карте?
                                                                                                Дополнительная защита. Такую карточку склонировать практически нереально. Во всех европейских банках сейчас карточки выпускаются только с чипами. А в России многие банки экономят.
                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                +1
                                                                                                да ну? если на любой перевод / cерьезное действие с финансами / счетом надо подтвердить все, сгенерив новый уникальный код на девайсе конкретно для этого перевода (введя сумму, реквизиты счета получателя и тд) — то автозалив грубо говоря не у дел, потому как клиент должен быть ну полным дебилом для того чтобы это сработало.
                                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                    0
                                                                                                    Примитивные EMV кардридеры не сильно утежелят ваш карман. А чип карты вместе с секретным ключом вполне могут обеспечить вычисление крипотграммы по данным транзакции.
                                                                                                      +1
                                                                                                      Ты очень мощно отжег :)
                                                                                                      Это делает все тот же девайс, и ссылку на пример оного я уже давал (я так понимаю чухча больше писатель? :)))

                                                                                                      www.barclays.co.uk/pinsentry/

                                                                                                      Аналогичным девайсом у прибайлтийского парекс банка я пользуюсь уже около 10 (!!!) лет.
                                                                                                      Кстати батарейки так и не сели еще ;))))))))))
                                                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                          0
                                                                                                          ответил ниже ;)

                                                                                                          ФИО получателя вводить — это страшный идиотзим.
                                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                        0
                                                                                                        Будет не больше калькулятора. Есть такой проект у MasterCard, называется Mondex. По сути — чиповый кошелек. Т.е., карта без онлайн-процессинга, а-ля наш родной Сберкарт. Там к карте можно прикупить миниатюрный ридер с пин-падом и дисплеем. Вставляешь свою карту, вводишь данные, вставляешь чужую, после этого нужная сумма оказывается на чужой карте. И наоборот. Довольно сложный девайс. Так есть модификации, которые размером с небольшой брелок, с кольцом для ключей, работающие от одной или двух литиевых таблеток (точно не помню).
                                                                                                        В случае банк-клиента совсем не обязательно на клавиатуре ридера набивать все данные перевода. Достаточно ввести не все данные, а только часть (допустим, номер счета получателя или его часть). Этого будет вполне достаточно.
                                                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                            0
                                                                                                            Ненавижу банки, которые не открывают к картам прямые уникальные счета. И данную схему пополнения я считаю чрезвычайно костыльной. }:(
                                                                                                            В данном случае, девайс перед подписью будет прокручивать на дисплее данные перевода, после визуальной проверки их на идентичность можно вводить ПИН и подписывать транзакцию.
                                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                              0
                                                                                                              Ты полную ерунду несешь.
                                                                                                              Это опять же совковое изобретение.

                                                                                                              Во всех нормальных банках открывают именно счет привязанный к карте и на него можно переводить деньги.
                                                                                                              На «калькуляторе» достаточно ввести запрашиваемые данные — номер счета с которого переводишь (своего), номер счета на который переводишь, сумму и сделать цифровую подпись уникальную.

                                                                                                              Номера счетов во всем мире стандартизированы и уникальны (SWIFT / IBAN)

                                                                                                              «При переводе на карточку нередко все кидают на один счет а в поле «Назначение платежа» пишут: Василию Пупкину на карточный счет 112345134.

                                                                                                              А девочка в банке уже рулит на нужную карточку.» — это полный идиотизм, полагаться на девочку в банке (зачастую — довольно тупенькую, и которую «хакнуть» на 10-ки порядков проще чем ломать электронную защиту) в 21-м веке и эре полной автоматизации процессов.
                                                                                                              Можно уточнить — что это за банк? Дабы люди знали где не надо счета открывать ;)
                                                                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                  0
                                                                                                                  … А девочка в банке уже рулит на нужную карточку.» — это полный идиотизм, полагаться на девочку в банке (зачастую — довольно тупенькую, и которую «хакнуть» на 10-ки порядков проще чем ломать электронную защиту) в 21-м веке и эре полной автоматизации процессов.
                                                                                                                  Можно уточнить — что это за банк? Дабы люди знали где не надо счета открывать ;) ...

                                                                                                                  К сожалению, многие банки не открывают к картам нормальных прямых счетов. Это суровая совкореальность. И ВТБ24, кстати, среди них.
                                                                                                      0
                                                                                                      Я пользуюсь 3 разными инет банками. Телебанковская защита кажется средней детскости, страшно за нее все равно. Хоть ip блок поставили бы что ли.
                                                                                                        +2
                                                                                                        Вообще, карты со списком кодов придуманы были в Германии и называються iTan.
                                                                                                        Есть еще варианты когда код вам приходит на телефон — это mTan.
                                                                                                        А так же последний — TanGenerator где у вас есть устройство синхронизированное с сервером банка и генерирует число такое же которое будет сгенерированно в банке. На данный момент самое действенное, т.к. ключ будет действителен пару минут.

                                                                                                        Таблица кодов обходиться таким способом — когда банк вас просит ввести ключ из таблицы, страница на которую вы будете писать — будет либо подменена либо отправка кода заблокировано, после чего у вас «вдруг» заблокируется интернет… или еще что. А злоумышленник зайдет к вам в банк и будет там делать, что угодно. Все действия естественно выполняет троян.

                                                                                                        Хотя в целом, сейчас это не слишком действенно, т.к. могут просить вводить коды несколько раз… плюс человек заподозрит не ладно.

                                                                                                        Поэтому, реально самый опасный метод — это автозалив. Троян выполняет некие действия, что когда вы начнете отправлять деньги — он автоматически подменит реквизиты для отправки и вы САМИ введете все нужные коды. При этом он отправит конечно же больше денег и не туда куда вы хотели, при этом вы в своем личном кабинете будете видеть и баланс и историю отправки — совпадающую с тем, что вы отправляли (все подменяется).

                                                                                                        В последнем случае — вас спасет только бдительность и подписка на уведомления о платежах по СМС.
                                                                                                          0
                                                                                                          Следует также отметить, что интернет-банкинг немецких банков работает в любых браузерах и параноики могут пользоваться им, например в отдельной линукс-виртуальной машине.

                                                                                                          Кстати, если TAN (transaction authorization number) был запрошен, но не введен, то система его считает «использованным».
                                                                                                            0
                                                                                                            Для предотвращения отсылки денех не туда существует подписывание транзакции на основе вашего секретного ключа, который может находиться, например, в вашей чиповой карте или генераторе OTP.
                                                                                                            +1
                                                                                                            У меня «Абсолютбанк» выдает USB-токен, в котором стоит криптопроцессор. Он шифрует и подписывает все транзакции, причем шифрование идет «на борту» токена, а не в ЦП. То есть, не угнать.
                                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                0
                                                                                                                В данном случае den1 прав, классические токены здесь не панацея. Троян показывает вам одни данные, а на подпись отправляются совсем другие. Нужно, чтобы сам токен имел активные средства отображения информации и контроля.
                                                                                                                Может дойти до абсурда: при втыкании токена в комп активируется троян, который заранее откейлоггил ПИН-код и данные для входа в банк-клиент, прозрачно в фоне сформировал несколько запросов и отправил все ваши ништяки со счетов своему хозяину куда-нибудь на багамы. Вы этого можете даже и не заметить.
                                                                                                                –1
                                                                                                                Уважаемые… прочитал очень много постов о том как можно украсть сертификат, как можно подменить реквизиты платежа, и что скрэтч-карты лучше цифровых сертификатов…

                                                                                                                Выскажу своё мнение и видение по этому поводу:
                                                                                                                1. Определимся с терминами: сертификат — представляет из себя открытый ключ с дополнительной информацией о возможных действиях с открытым ключом, о пользователе, о сроках действия сертификата. Закрытый ключ — это секретный код, которые должен быть только в единственном экземпляре и только у Вас. Закрытый + открытый ключ = крипто пара. подробнее рекомендую почитать замечательную книжку Брюса Шнайера «Прикладная криптография».
                                                                                                                2. В случае отправки банку какой-либо транзакции, данная транцакция подписывается, следовательно если вдруг каким-либо образом изменить информацию отправляемую в банк, то цифровая подпись будет недействительна, следовательно банком не примется… По этому говоря про ВТБ 24, Вас просят подписать платёжку, и после подписи Вам показывают подписанную платёжку, и если в подписанной платёжки всё правильно, то любые дальнейшие изменения приведут к тому, что подпись станет недействительна.
                                                                                                                3. Говоря про скрэтч-карты, все коды которые ест ьу Вас на карточке, они написаны не случайным образом, а по определённому алгоритму, который скорее всего является открытым и основан на секретности вектора инициализации. Математически вычислить вектор начальной инициализации всё таки проще чем закрытый ключ сертификата, это говорит о том, что сертификаты всё-таки безопаснее.

                                                                                                                Однако стоит упомянуть удобство пользования, да большинство приложений для работы с сетификатами заточены только под операционные системы мелкомягких, так же для работы с сертификатами и более того для работы с USB-токенами необходимо специальное ПО, которое далеко не всегда есть возможность установить. Но это уже вечный холивар между безопасностью системы и удобством её использования, кадый выбирает что ему важнее.
                                                                                                                  0
                                                                                                                  >… между безопасностью системы и удобством её использования, кадый выбирает что ему важнее.
                                                                                                                  Между тем в чём тебе удобно работать и тем в чём неудобно.
                                                                                                                  У меня винда стоит именно ради интернет‐банкинга и запускается довольно редко. Почему я должен платить за неё, за антивирус, работать в неудобном ИЕ и иметь неудобную конфигурацию компьютера (минимум 1 лишний NTFS раздел), перезагружаться для проверки счёта в банке (ну можно поставить в виртуалке, но всё‐равно не нативно это и не нравится мне)? Я даже ещё не касался проблем мелко‐мягкой безопасности.
                                                                                                                  А, меж тем, немцы спокойно работают в чём и как хотят. Сказали бы специалистов нет, так валом их.
                                                                                                                  Это обыкновенный совок: сделаем как сможем, а лишь бы работало и чтобы не напрягаться; пользуются же, так чего париться?
                                                                                                                    0
                                                                                                                    Прошу прощения, а я где-то что-то сказал про операционную систему? по моему нет… причём тут операционка? я поднял вопрос сравнения безопасности одноразовых паролей и цифровых сертификатов, а не *nix систем и windows, или Вы просто хотите поспорить что *nix лучше?

                                                                                                                    Вопрос конкретной реализации — это совсем другой вопрос, если говорить об отечественных разработчиках крипто-сервис провайдеров, которые работают под *nix системы с цифровыми сертификатами, то я знаю сходу двух: Крипто-Про и ЛИССИ.

                                                                                                                    То, что банки пользуются чем проще, тут я с Вами соглашусь — это не правильно, и решение необходимо делать как можно более универсальным, но это требует денег, а раз пипл хавает, то зачем тратить больше?

                                                                                                                    Давайте все дружно обзвоним все банки, и создадим кучу заявок, что хотим клиент-банк под *nix системы, тогда что-то и измениться…

                                                                                                                    Поддерживать же холивар винда vs никсы не собираюсь ибо это пустая трата времени.
                                                                                                                      0
                                                                                                                      >Поддерживать же холивар винда vs никсы не собираюсь ибо это пустая трата времени.
                                                                                                                      Ни в коем случае.
                                                                                                                      Тут мой косяк, я писал комментарий для rlepricon ↑, да не туда попал. Он про операционки обмолвился, а я как раз ваше:
                                                                                                                      >раз пипл хавает, то зачем тратить больше
                                                                                                                      и расписал, что это совок и пару доводов к тому что всё должно быть универсальнее.
                                                                                                                    0
                                                                                                                    Благодаря вашему посту вспомнил что у меня тоже подключен Телебанк. Карту привязать можно только через оператора ТП? Не нахожу этой функции в интерфейсе.

                                                                                                                    Сейчас пользуюсь Альфа-кликом, система безопасности с высылкой пароля на телефон вполне устраивает. Интерфейс телебанка более запутанный, не подготовленному пользователю с ним труднее работать, чем с интерфейсом Альфа-Клика
                                                                                                                      0
                                                                                                                      только не пару месяцев, а не меньше года :)
                                                                                                                      а так все верно… замечу, что скратч-карты безумно устарели — и неудобны и кончаются относительно быстро.
                                                                                                                      все банки в европе выдают электронный генератор кодов для этой цели…
                                                                                                                        0
                                                                                                                        Немного с опозданием. На счет такого подкласса MITM-атак известного как Man-in-the-Endpoint (MitE) (или попросту автозалива), который на стороне клиента перехватывает все потоки ввода/вывода и подменяет все данные транзакции/ее отображения на лету. И, как писали выше, способен побороть защиты в виде генераторов кодов, ЦП, токены, списки танов и смс-коды. С целью контрмер предлагались аппаратные модули с пинпадом и дисплеем, криптокалькуляторы, криптодевайсы и прочие не очень удобные вещи. Но почему-то никто не подумал присылать вместе с смс-кодом авторизации операции данные о самой операции — сумму, назначение платежа, которую клиент может визуально идентифицировать и убедиться, что ничего не было изменено в процессе прохождения операции до банка и деньги пойдут в нужном направлении. Единственной угрозой в таком случае будет кража/изготовление дубликата сим-карты, но это не может быть использовано так массово, как в случае с троянами.

                                                                                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.