Щит и меч в системах ДБО – 2, или как бороться с MITM-атаками и несанкционированным удаленным доступом

в 13:51, , рубрики: Без рубрики

В январе 2013 мы уже писали про универсальное решение для систем ДБО. За прошедший год был совершен ряд переработок, направленных на совершенствование защиты от хищений и увеличение юзабилити.

Заняться этим нас подвигло резкое увеличение числа атак на системы ДБО, связанных с использованием удаленного доступа к компьютерам пользователей. К сожалению, при таком виде атаки, обычная двухфакторная аутентификация никак не способна защитить финансовые активы компании. Очевидной мерой противодействия является необходимость создания доверенной среды с невозможностью применения средств удаленного управления.

Итак, напомним, что такое Рутокен PINPad. Это решение класса TrustScreen, способное формировать доверенную среду и визуализировать подписываемый документ перед наложением электронной подписи. Подпись происходит непосредственно на самом устройстве после физического нажатия пользователем соответствующей кнопки на экране. Таким образом, мы защищаемся от атак, совершаемых при помощи средств удаленного управления, подмены содержимого документа при передаче его на подпись (Man-in-the-browser).

image

Как можно заметить, мы сделали новый корпус со специальной подставкой, полностью переработали дизайн интерфейсов, а также снабдили устройство дополнительным функционалом.

Итак, основные моменты:

  • Визуализация документов и их подпись на самом устройстве
  • Реализация отечественных криптографических алгоритмов «на борту устройства»
  • Неизвлекаемые ключи
  • Аппаратный ввод PIN-кода на экране
  • Возможность формирования и подтверждения запроса на сертификат в формате PKCS#10
  • Поддержка формата X.509 и инфраструктуры PKI
  • Отсутствие возможности подписи непроверенных данных
  • Возможность осуществления массовых платежей по «белым» спискам
  • Возможность кэширования PIN-кода
  • Журнал операций для расследования инцидентов
  • Работа с любым браузером через плагин
  • Цветной сенсорный экран

Теперь покажем, как это все выглядит при использовании.
Проследуем в наш Демобанк, где для начала работы пройдем процесс регистрации, а именно – сформируем запрос на сертификат.

Выберем из списка подключенных устройств PINPad:

image

Придумаем себе логин:

image

Запрос отображается на экране и, если мы согласны, нажимаем галочку и вводим PIN-код:

image

image

Теперь авторизация. Выбираем наш сертификат, смотрим на экране с каким сертификатом происходит вход и по какому адресу.

image

Соглашаемся и вводим PIN-код на устройстве для авторизации:

image

Заметим, что регистрация и аутентификация происходят посредством подписи случайных данных на устройстве в формате CMS c отображением на экране устройства запроса.

В Демобанке есть реализация белого списка, в который занесены контрагенты, с которыми мы постоянно работаем и полностью им доверяем.

image

Что означает восклицательный знак у платежки? В данном случае реализовано визуальное подтверждение платежа для респондентов не из белого списка и подтверждение платежа с суммой, превышающей 100 000 рублей. Такие платежи требуют визуализации и дополнительного подтверждения с помощью Рутокен PINPad.

image

Если мы будем проводить массовый платеж из 4-х платежек, то две из них, не отмеченные восклицательным знаком, будут подписаны без визуализации, а остальные две выведены на экран PINPad:

image

В случае подмены платежного документа злоумышленником, на экране устройства мы замечаем неверные реквизиты и отклоняем платеж:

image

Если же все ОК, то подписываем платежное поручение, формируется подпись, затем все данные шифруются и отправляются на сервер:

image

После просмотра и подтверждения сформирована подпись в формате CMS:

image
image

Заметим, что в зависимости от выбранной политики безопасности есть возможность кэшировать PIN-код при авторизации и использовать в сессии этот кэш, не запрашивая PIN-код при каждой операции.

В качестве заключения:

Представленное решение способно максимально защитить счета пользователей от различных видов угроз, в том числе связанных с удаленным управлением и подменой документов. Также PINPad позволяет реализовать безопасные массовые платежи, организовывать расследование инцидентов.
В настоящее время ведутся работы по поддержке Рутокен PINPad в наиболее распространенных системах ДБО и ряде банков.

Автор: AleshaRabotaet

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js