Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных






НазваниеVii международная научно-практическая конференция студентов, аспирантов и молодых учёных
страница14/50
Дата публикации28.03.2015
Размер3.69 Mb.
ТипДокументы
e.120-bal.ru > Информатика > Документы
1   ...   10   11   12   13   14   15   16   17   ...   50

РАЗРАБОТКА МЕТОДОВ ЗАЩИТЫ WEB-ПРИЛОЖЕНИЯ «КЛИЕНТ-БАНК» СЕРВИСОВ ДБО


Власов Ренат Владимирович

студент

Финансовый Университет при Правительстве РФ

Россия, г. Москва

vlasov.ren@yandex.ru
Аннотация: В данной статье будут рассмотрены актуальные угрозы системам дистанционного банковского обслуживания, а так же методы борьбы с ними.

Ключевые слова: ДБО, транзакции, защита, Клиент-Банк, Электронный банк.

Дистанционное банковское обслуживание – Это технология предоставления банковских услуг клиентам, осуществляемая посредствам передачи поручений от клиентов банку по каналам передачи данных.

Развитие объектов банковской сферы развивалось на протяжении многих лет. В условиях жесткой конкуренции, банки, с целью привлечения клиентов для постоянной генерации денежных средств и обеспечения процесса непрерывности бизнеса улучшали, обязаны были улучшать качество обслуживания клиентов и предоставляемых им услуг.

Исходя из этого, одним из наиболее перспективных направлений является дистанционное банковское обслуживание. Этому есть объяснение: данный вид услуг является удобным решением проблем отправки платежных поручений как для крупных корпоративных, так и для мелких частных клиентов. Плюс ко всему, на заре развития коммуникаций, ДБО являлось серьезным конкурентным преимуществом по сравнению с традиционными методами обслуживания клиентов.

Поскольку передача платежных поручений от клиента банку осуществляется посредствам каналов передачи данных, то такие системы априори не могут быть защищены на 100% и дело здесь не в защите систем ДБО банка, которые по большей части имеют достаточный уровень защищенности, как и любая система, контактирующая с объектами из недоверенной среды. Защита данных систем подпадает под действие регламентирующих стандартов, таких как СТО БР и PCI DSS. А вот защита клиентского места ложится на плечи самого клиента, потому что это внешняя по отношению к системам банка территория, и она не может контролироваться службой информационной безопасности банка. Именно поэтому, организационные меры по защите информации, по большей части, не дают ощутимых результатов.

Данный фактор способствовал тому, что с каждым годом число атак на клиентскую часть систем ДБО только возрастает. По статистике МВД за 2012г только за 1 день совершалось порядка 40-50 атак на системы ДБО.

Рассмотрим наиболее распространенные виды атак:

  • Фишинг

    • Принуждение клиента перейти по сфальсифицированной ссылке

    • Программная реализация подмены адреса сайта ДБО

  • Логгирование

    • Перехват всех нажатий клавиш в системе

    • Считывание значений полей ввода в браузере

    • Перехват HTTP запросов

  • Вредоносное программное обеспечение

  • Физическая кража ключей ЭЦП

    • Непосредственное копирование файлов ключей

    • Экспорт сертификатов из хранилища браузера

    • Перехват сертификатов в момент их использования

  • Атаки типа человек посредине (Man-in-the-middle)

  • Межсайтовое выполнение сценариев

  • Методы обеспечения безопасности систем ДБО:

  1. Использование протокола SSL. Данный протокол позволяет осуществить аутентификацию сервера(клиента) и шифрование сессии. Его преимущество в том, что он не зависим от прикладного протокола. Протокол SSL согласовывет алгоритм шифрования и ключ сессии, аутентифицирует сервер до момента, когда приложение примет или передаст первый байт данных. Все протокольные прикладные данные шифруются и передаются с гарантией конфиденциальности. Кроме того, SSL предоставляет безопасный канал, который наделен 3 свойствами:

  • Канал является частным. Для определения секретного ключа происходит простой «диалог», после чего все сообщения шифруются.

  • Канал аутентифицирован. Возможность как серверной, так и клиентской аутентификации, что снижает риск доступа к сервису из «недоверенных» источников.

  • Канал надежен. Все транспортируемые сообщений подвергаются проверке на целостность.




  1. Защита от логгирования. Подразумевает под собой использование программных «клавиатур» для предотвращения перехвата данных, путем мониторинга нажатий клавиш. Развитие вредоносного ПО поспособствовало новым методам перехвата, способным отличить виртуальные средства ввода информации от реальных. НО преимущество данного метода в том, что он не является дорогостоящим или неудобным для клиента. Данная мера не будет лишней в любом случае.

  2. Многофакторная аутентификация. Один из самых действенных способов защиты клиентских денег от похищения. Она предполагает достаточный уровень защиты при минимальных затратах. Суть данного метода заключается в дополнительной аутентификации после правильного ввода логина и пароля. Чаще всего, данный метод находит отражение в sms сообщениях с одноразовым паролем. Использование sms-паролей является одним из требований в стандарте Банка России. Помимо одноразовых паролей, многофакторная аутентификация может включать в себя биометрическую аутентификацию. Но такие меры несут огромные денежные затраты и не пользуются особой популярностью.

  3. Использование аппаратных ключей («токенов»). Является мерой для усиления уровня защиты. Аппаратный ключ eToken PASS представляет собой брелок, реализующий выдачу одноразового пароля по запросу пользователя. Полученный пароль может использоваться для дополнительной защиты авторизации и/или отдельных действий пользователя. Верификация пароля осуществляется на стороне сервера.

  4. Проверка ip-адреса клиента. Суть метода состоит в том, что клиент, имея полную информацию для входа в личный web-кабинет банка, не сможет этого сделать с постороннего ip-адреса. В таком случае атакующий не сможет удалённо подключиться к интернет-банку, даже имея логин, пароль и ключи легитимного пользователя.

  5. Аппаратная аутентификация отдельных транзакций. Дополнительной мерой защиты может выступать использование многофакторной аутентификации не для получения доступа к системе web-банкинга, а для авторизации отдельных транзакций во время работы с ней. Использование аппаратных средств подтверждения транзакций является действенным способом, обеспечивающим частичную от вредоносного ПО, работающего в уже открытой сессии пользователя. Клиентские поручения на проведение транзакций шифруются и передаются банку по защищенному каналу, что делает невозможным перехват и расшифровку данных. Для клиентов – физических лиц (в отличие от юридических) эта защита может считаться приемлемой ввиду удобства ее реализации: количество финансовых транзакций в рамках одной сессии в данном случае редко бывает значительным.

  6. SMS and E-mail оповещения о совершенных операциях. Оповещение клиента о каждой транзакции является средством борьбы с различными методами перехвата сессий работы с web-банкингом). Благодаря данному методу защиты, клиент всегда узнает о совершенных банковских операция и, в случае неправомерного доступа к его информации, может обратиться в службу безопасности банка для проведения экспертизы и возврата потерянных денежных средств.

  7. Тонкий или доверенный клиент, разворачиваемый на клиентском компьютере в виде виртуальной машины, на которой создается доверенная среда для просмотра и подписи платежных документов. Такое решение не требует дополнительных устройств, кроме доверенного носителя. Однако пользователь, работая с системой ДБО в такой среде, сильно ограничен, так как система “не видит” ресурсов рабочей стации и не может с ними работать.




  1. Clientless NAC решения. В случае ДБО нельзя использовать полноценный In-Band NAC, поскольку отказ доступа к функционалу ДБО для пользователя с заражённого компьютера, даже реализованный из лучших побуждений, – это потенциально потерянный клиент. Однако предоставить информацию о наличии, к примеру, подозрительной вирусной активности со стороны клиентского компьютера или отсутствии антивирусного ПО никогда не бывает лишним. Ряд Clientless NAC-решений для контроля конечных рабочих мест работает напрямую из браузера и в случае обнаружения серьёзных уязвимостей позволяет выдавать клиенту предупреждение и список рекомендаций по дальнейшим действиям со ссылками на интернет-ресурсы. Другое применение подобных технологий – внутренний мониторинг клиентской базы с составлением списка подозрительных рабочих мест для последующей корреляции этой информации с данными систем финансового мониторинга и антифрода.

Выводы: Количество угроз системам ДБО с каждым годом только растет. Появляются новые угрозы безопасности. Именно поэтому для защиты своих денежных средств целесообразно и оправдано использовать спектр предлагаемых на рынке безопасности средств. Хоть и не многие средства безопасности принимаются на вооружение из-за их стоимости. А следование элементарным требованиям безопасности способно серьезно повысить общую защищенность клиентского оборудования.

Литература

    1. Е.А. Крука: Вопросы передачи и защиты информации. Санкт-Петербург. 2006

    2. http://www.klerk.ru/bank/articles/238500/

    3. http://antifraudrussia.ru/assets/files/Prez/Potanin_Soyuz.pdf

    4. http://www.jetinfo.ru/stati/zaschita-dbo-traditsionnye-podkhody

    5. http://nobunkum.ru/ru/banker-attacks

    6. http://citforum.ru/nets/semenov/6/ssl_65.shtml



1   ...   10   11   12   13   14   15   16   17   ...   50

Похожие:

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных iconXх І международная научно-практическая конференция для студентов,...
Хі международная научно-практическая конференция для студентов, аспирантов и молодых ученых

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных iconXх І і международная научно-практическая конференция для студентов,...
Хіі международная научно-практическая конференция для студентов, аспирантов и молодых ученых

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных iconXх І і международная научно-практическая конференция для студентов,...
Хіі международная научно-практическая конференция для студентов, аспирантов и молодых ученых

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных iconXх І і международная научно-практическая конференция для студентов,...
Хіі международная научно-практическая конференция для студентов, аспирантов и молодых ученых

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных iconРассказов Д. А. 21
Хіі международная научно-практическая конференция для студентов, аспирантов и молодых ученых

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных iconМосковский государственный
Международная межвузовская научно-практическая конференция студентов, магистрантов, аспирантов и молодых учёных

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных iconМосковский государственный
Международная межвузовская научно-практическая конференция студентов, магистрантов, аспирантов и молодых учёных

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных icon«психология и педагогика в современном мире: вызовы и решения» (01. 02. 2014 г.) г. Москва 2013
Международная научно-практическая конференция для студентов, аспирантов и молодых ученых

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных icon«современные концепции экономической теории и практики: новые пути исследований и развития»
Международная научно-практическая конференция для студентов, аспирантов и молодых ученых

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных icon«психология и педагогика в современном мире: вызовы и решения» (13. 12. 2013 г.) г. Москва 2013
Международная научно-практическая конференция для студентов, аспирантов и молодых ученых






При копировании материала укажите ссылку © 2016
контакты
e.120-bal.ru
..На главную