«Стратегические составляющие финансовой устойчивости и безопасности банковской системы и финансовых рынков Украины - 2014»

Сумарченкова И. А.

ФГБОУ ВПО Самарский государственный технический университет,
  г . Самара, Российская Федерация

Анализ средств и способов подтверждения платЕжных   транзакций в системах дистанционного   банковского обслуживания для   физических и юридических лиц

 

В настоящий момент системы дистанционного банковского обслуживания используются в большинстве кредитных организаций банковского сектора. Основной задачей таких систем (помимо предоставления клиенту информации о движении денежных средств) является прием распоряжений на перевод денежных средств контрагентам. Важнейшей частью этой задачи является доказательство того факта, что распоряжение отправлено правомочным пользователем системы.

В системах, ориентированных на работу с физическими лицами, с целью удешевления стоимости инсталляции (поскольку интеграция в программу средств криптозащиты возлагает на эксплуатанта системы дополнительные расходы в размере стоимости лицензии на интегрируемое ПО) обычно применяются варианты подтверждения документов путем ввода кодов со стретч-карты , списка одноразовых кодов или кода подтверждения, полученного по СМС на зарегистрированный в системе телефонный номер.

Надежность этих вариантов основывается на факте двухфакторной авторизации – предъявлении при входе в систему заранее полученного логина/пароля и дополнительного кода. Маловероятен сценарий, когда злоумышленник может получить доступ сразу к информации о входе в систему и к кодам авторизации платежных документов.

К недостаткам подобного типа авторизации следует отнести случаи, когда дополнительный код пересылался в SMS-сообщении и был недоступен в связи со сбоем доставки сообщения абоненту, т. е. СМС приходила позднее срока жизни в программе Банк-Клиент. Мною лично наблюдалась такая ситуация с системой Сбербанк-Онл@йн , где время для ввода кода подтверждения операции ограничено 300 секундами.

В системах, предназначенных для обслуживания юридических лиц, в настоящий момент инструментом подтверждения полномочий клиента является электронная подпись. В большинстве программ этого сегмента работа с электронной подписью происходит через интеграцию в приложение криптопровайдеров , имеющих необходимые лицензии и сертификаты безопасности от контролирующих органов.

Для хранения ключей подписи используются следующие носители информации: ключевые дискеты/USB flash , реестр компьютера/пользователя, смарт-карты (со считывателями), USB токены .

Использование в качестве хранилища ключей дискет/USB flash дисков, а также реестров компьютера/пользователя следует признать устаревшим и небезопасным, поскольку в данный момент известно большое количество вредоносных приложений (вирусов/ троянов ), ориентированных на кражу у пользователей информации о доступе к системам дистанционного банковского обслуживания и ключей подписи к ним. Как пример можно привести трояны Zeus , Carberp и SpyEye . Указанные вредоносные программы осуществляют поиск и передачу злоумышленникам ключей электронной подписи инфицированных компьютеров а также паролей к ключам и к учетным данным для авторизации в системах дистанционного банковского обслуживания. Поскольку файлы ключей на вышеуказанных носителях хранятся в открытом виде, это многократно увеличивает опасность их несанкционированного использования. Некоторые производители систем дистанционного банковского обслуживания, с целью уменьшения вероятности несанкционированного использования ключей подписи, требуют от пользователя дополнительных действий. Как пример – извлечь ключевой носитель из компьютера и заново предъявить его по требованию программы.

Смарт-карты представляют из себя широкий класс устройств размерами со стандартного USB flash диск а( в варианте формата SIM), до стандартной банковской карты + считывающее устройство. Смарт-карты используются как защищенные носители информации. В функционал полноразмерных считывателей премиум-класса заложен вариант визуализации ключевых параметров подписываемого документа, таких, как счет получателя и сумма операции, на дисплее считывателя. В этом случае клиент защищен от подмены реквизитов документа вредоносной программой на этапе подписания.

USB токены используются как защищенные носители информации. Появился также новый вид токенов , в которых реализована функция подписания платежного документа внутри самого устройства. В таких случаях на вход устройства подается удостоверяемый документ, а в ответ генерируется сигнатура подписи. При этом секретный ключ генерируется исключительно внутри токена самим токеном (один раз при инициализации клиентом USB токена ), используется только самим токеном и никогда, никем и ни при каких условиях не может быть считан из токена . USB токен может отдать внешним приложениям только открытый ключ подписи для проверки ее валидности . Негативным фактором, сдерживающим распространение подобных токенов , является их цена. Она на порядок превышает стоимость токенов , реализующих только функцию защищенного хранения. В то же время, защищенные хранилища уязвимы при протоколировании действий пользователя путем кей-логеров . Но токены-криптопроцессоры не защищены от варианта подмены реквизитов платежного документа.

Исходя из вышесказанного, на текущий момент наиболее надежными средствами подписи платежных документов являются смарт-карты со считывателями-визуализаторами, в которых контроль документа возложен на пользователя.

Вторыми по уровню защищенности являются токены-криптопроцессоры .

Все остальные варианты не обеспечивают необходимый уровень защиты от несанкционированного доступа злоумышленниками.