УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
проблемы недоверенной среды и противодействия современным атакам на клиентов дбо
1. Строгая аутентификация и квалифицированная
электронная подпись для портальных решений
и облачный сервисов.
Проблемы недоверенной среды и
противодействия современным атакам на
клиентов ДБО.
Колесников Алексей
Руководитель направления по работе
с клиентами финансового сектора
г. Екатеринбург 2012 г
w w w. a l a d d i n.– r d. r u
n ru
2. Взгляд на рынок ДБО через призму ИБ
• Воруют…
– 2011 – резкий рост атак, смена тактики – незаметно и понемногу
– Распределение атак на ДБО по типам атак*
• Кража закрытого ключа с
диска или незащищѐнного
носителя #3 – (>70%)
• Удаленное управление
компьютером (с пробросом
USB-порта) #2 – (<12%)
% • Кража СКЗИ,
несанкционированное
использование #4 – (<10%)
• Кража ключей из памяти #1
(<5%)
• Подмена хэш или документа
#5 (<3%)
70% угроз снимается простым
использованием токенов (s/c)
* - По данным GroupIB
w w w. a l a d d i n – r d. r u 2
3. Рынок ДБО (через призму технологий)
Используемые 5% Векторы атак
технологии ЭЦП Токен с ЭЦП
Атаки с подменой подписываемого документа
на борту
Токен как Атаки на несанкционированное
19% использование токена
хранилище
крипто-
контейнера
25%
80%
70% Атаки на кражу ключей ЭЦП
Ключи ЭЦП – в
памяти ПК, токены
не используются
Вектор атак смещается в сторону подмены
подписываемого документа
w w w. a l a d d i n – r d. r u 3
4. Как меняется рынок?
• Web-based приложения (портальные решения), тонкие
мульти-платформенные решения
• Облачные сервисы
– Традиционные технологии и средства здесь не эффективны:
• Охрана границ периметра (его больше нет)
• Антивирусная защита (не работает на спец. трояны)
• Неуправляемость пользователей
– Нельзя заставить всех установить необходимое ПО, средства ИБ,
выполнять требования ИБ
• Хакеры отработали технологии атак
• Удаленное управление ПК или проброс USB-порта на удаленный ПК
• Атаки с подменой подписываемого документа
• Запуск проекта «Электронное правительство», выпуск
чиповых платежных карт с ЭЦП «на борту»
w w w. a l a d d i n – r d. r u 4
5. Работа с Web-порталами и облачными сервисами
Задача:
• Взаимная двухфакторная
аутентификация (по ГОСТ)
• Квалифицированная ЭП Web-форм и
документов (по ГОСТ)
• Защита данных в канале (по ГОСТ)
• Возможность удобной работы из
любой, в т.ч. недоверенной среды
– Windows 9x-7/CE, MacOS, Linux+
– ПК, терминалка, любой Web-браузер
– Защита от новейших атак с
навязыванием и подменой
подписываемого документа
– Без предварительной установки ПО
третьих фирм
– Без прав администратора
Звучит фантастически?
w w w. a l a d d i n – r d. r u 5
6. Работа с Web-порталами и облачными сервисами
Решение:
• USB-токен или смарт-карта с реализацией сертифицированной
российской криптографии «на борту»
– Используется как персональное средство взаимной строгой
двухфакторной аутентификации пользователя и портала, для
формирования ЭЦП с неизвлекаемым закрытым ключом
– Сертификат ФСБ, срок хранения закрытого ключа до 3х лет с
возможность самостоятельной перегенерации ключей (клиенту не
надо ходить в банк)
– Не требуется установка драйверов в современных ОС (Windows
XP+, MacOS, Linux), не требуются права локального
администратора
MChip
- Платежное
приложение
ЭЦП (ГОСТ)
- PKI
w w w. a l a d d i n – r d. r u 6
7. Работа с Web-порталами и облачными сервисами
Решение:
• JC-WebClient – кроссплатформенный мультибраузерный
плагин, обеспечивающий взаимодействие Web-приложения с
токеном/картой в контексте браузера
– Устанавливается автоматически при первом посещении
Web-портала (как плагин в IE, Firefox, Chrome, Safari, Opera),
права локального администратора не нужны
– Аутентификация – с использованием ЭЦП (на прикладном
уровне)
– Защита данных – устанавливается SSL-соединение, внутри
него – шифрование передаваемых данных по ГОСТ 28147-89
(на прикладном уровне)
– ЭЦП Web-форм / файлов (аппаратно – токеном или картой)
w w w. a l a d d i n – r d. r u 7
8. Работа с Web-порталами и облачными сервисами
• На стороне сервера – подготовка Web-страниц
– Разработчикам даем примеры кода на ASP.Net и PHP
– Демо-портал www.demobank.ru с примерами типовых
сценариев и операций (как проект)
w w w. a l a d d i n – r d. r u 8
9. Платежная карта с ЭЦП на борту
• Отработана технология выпуска и применения платежных
карт с сертифицированной ЭЦП «на борту»
– Обеспечена 100% совместимость карт в платежной
инфраструктуре, в PKI, с Web / облачными сервисами
– В 2011 несколько крупных банков вместе с Ростелекомом
запустили первые ко-брендинговые проекты
• Зарплатные проекты
• Доступ к порталу госуслуг
• Далее:
– ДБО, е-отчетность, е-торги, е-коммерция (счета-фактуры),
облачные сервисы (1C, MS Office 365 и др.)
– Социальные: проезд в транспорте и др.
• Можно подключаться к программе!
w w w. a l a d d i n – r d. r u 9
10. Платежная карта с ЭЦП на борту (пример)
www.gosuslugi.ru
w w w. a l a d d i n – r d. r u 10
11. Инфраструктура для смарт-карт
В рамках запущенных пилотов банки выдают ридеры в комплекте с картой.
Аладдин наладил выпуск ридеров по японской технологии.
w w w. a l a d d i n – r d. r u 11
12. Проблемы недоверенной среды и
противодействия современным атакам на
клиентов ДБО
Как получить квалифицированную электронную
подпись при работе в недоверенной среде?
w w w. a l a d d i n.– r d. r u
n ru 12
13. Работа с Web-порталами и облачными сервисами
• Защита от атак с подменой подписываемого документа на
“зараженном” компьютере, с перехватом управления или с
пробросом USB-порта на удаленный компьютер
злоумышленника
– Смарт-карт ридер с визуализацией подписываемого документа
(значимые поля – по тегам)
– Встроенная поддержка в JC WebClient
И все же, крайне
желателен второй канал
– SMS-уведомление, факс
w w w. a l a d d i n – r d. r u 13
14. ЭЦП для мобильных платформ (анонс)
Secure MicroSD для планшетов и
телефонов
• Интегрирован чип смарт-карты с
сертифицированной российской
криптографией (ЭЦП с неизвлекаемым
закрытым ключом)
• Функционал как у токенов и смарт-карт с
ЭЦП на борту + защищенная Flash (2-8 Гб)
• Телефон может использоваться как
средство визуализации подписываемого
документа и как второй канал для
подтверждения сделанных платежей
– В новой версии скорость аппаратного вычисления
хэш и шифрование по ГОСТ 28147-89 – до 40 Кб/с
(можно использовать и для защиты
документооборота)
w w w. a l a d d i n – r d. r u 14
16. Нас выбрали….
В России:
•Альфа-банк
•Банк Возрождение
•Промсвязьбанк
•Русь-банк
•Банк «Интеза»
•Коммерцбанк-Евразия
•Уралпромбанк
•Интерпрогрессбанк
И еще более 200 банков …
В мире:
•Bankernes EDB Central (BEC)
•Banco Central do Brasil
•Bank Hapoalim
•Postbank
•Commerzbank International S.A.
•Israel Securities Authority
•Hypovereinsbank (HVB)
•Deutscher Ring
•NH-Bank
и многие другие…
w w w. a l a d d i n – r d. r u 16
17. Спасибо за Ваше
внимание!
Просто
Надежно
Удобно
w w w. a l a d d i n.– r d. r u
n ru 17