W w w. a l a d d i n. r u Методы снижения рисков при осуществлении финансовых транзакций в сети Интернет Денис Калемберг, Менеджер по работе с корпоративными. - презентация

1 w w w. a l a d d i n. r u Методы снижения рисков при осуществлении финансовых транзакций в сети Интернет Денис Калемберг, Менеджер по работе с корпоративными заказчиками ЗАО «Аладдин Р.Д.» РИФ, 2010г.

2 w w w. a l a d d i n. r u 2 Проблема - Появление новых «бизнесов» 1. Атаки на клиентов банков стали массовыми и адресными 2. «Разделение труда» –Сбор информации о клиентах, их счетах и суммах с целью перепродажи –Кража денег с выбранных счетов – проведение адресных атак Причины Кризис (обострение проблем) Доступность инструментария для подготовки и проведения адресных атак –Используются уязвимости ПО и бот-сети –Стоимость менее $100 Перекладывание ответственности за безопасность на клиента (хотя он не является экспертом в этом вопросе)

3 w w w. a l a d d i n. r u 3 Что происходит и почему? Масштаб бедствия Главные источники угроз Уязвимости Web-приложений – «заряженные» сайты – эксплойты 63% сайтов РФ имеют критические уязвимости * Специализированные эксплойты и трояны - антивирусы против них малоэффективны Как мы получаем spyware Переходя по ссылкам в спамерских письмах («грязный» спам) Через поисковики (подозрительные сайты) Фишинг (письма «от банка») Из 600 млн. компьютеров, подключенных к Интернет, млн. уже являются частью бот-сетей. Давос, январь 2007 Из доклада Виртона Серта Positive Technologies, %

4 w w w. a l a d d i n. r u 4 Конструктор spyware - специализированных троянов

5 w w w. a l a d d i n. r u 5 От защиты объекта к защите взаимодействия Основные векторы угроз Кража регистрационных данных клиентов (accountов) Кража / перехват ключей ЭЦП / кодов авторизации / одноразовых паролей (SMS) Противодействие Усиление аутентификации Использование лицензионного антивирусного ПО Использование автономных устройств OTP (One Time Password)- генераторов Токенов для защищенного хранения криптографических ключей ЭЦП Токенов с аппаратной ЭЦП (неизвлекаемый ключ ЭЦП) Для «толстого клиента» основной проблемой остается вопрос доверенной среды Большой интерес и новые разработки связаны с «тонким клиентом» (Web) вопрос к мобильности решения

6 w w w. a l a d d i n. r u 6 USB-токены для защищенного хранения ключей ЭЦП 6 Основные характеристики Резко снижает вероятность компрометации закрытого ключа ЭЦП Высокая защищенность чипа Двухфакторная аутентификация клиента

7 w w w. a l a d d i n. r u 7 USB-токены с «криптографией на борту» Решает проблемы Компрометации закрытого ключа ЭЦП Несанкционированного использования ключа ЭЦП Двухфакторной аутентификации клиента (на уровне приложения)

8 w w w. a l a d d i n. r u 8 Генераторы одноразовых паролей Решает проблемы Кражи регистрационных данных клиента Перехвата SMS с одноразовым паролем Мобильности клиента (ПК, телефон)

9 w w w. a l a d d i n. r u 9 Комбинированные USB-ключи Смартфон Карманный ПК Ноутбук Персональный компьютер Функционал смарт-карты ЭЦП, шифрование SSL Одноразовый пароль для КПК и компьютеров без USB-портов Терминал PDA Перевести $ Иванову Ивану Ивановичу ЭЦП -(контроль целостности и авторства) OTP -(собственноручное подтверждение)

10 w w w. a l a d d i n. r u 10 Комплексный подход к безопасности в системах ДБО Методы защиты: - Использование защищенных носителей ключей ЭЦП - Подтверждение совершенных операций при помощи одноразовых паролей -Использование персонального межсетевого экрана на рабочей станции -Использование лицензионного антивирусного ПО на рабочей станции *По данным Group IB с по Комплексный подход позволит свести к минимуму риски, возникающие в системах дистанционного банковского обслуживания.

11 w w w. a l a d d i n. r u Спасибо за внимание!