SlideShare a Scribd company logo

ЧатБанк – chatbank.ru от ПАО «Совкомбанк». Андрей Бухтияров, Совкомбанк

Банковское обозрение
Банковское обозрение

ЧатБанк – chatbank.ru от ПАО «Совкомбанк». Андрей Бухтияров, Совкомбанк

Economy & Finance
1 of 10
Download to read offline
ЧатБанк – chatbank.ru от ПАО «Совкомбанк» * Интернет-Банк с самым большим в России количеством элементов безопасности Андрей Бухтияров основатель и главный разработчик online.sovcombank.ru
Особенности создания и эксплуатации Интернет-Банка ЧатБанк Собственная платформа, включая среду разработки (все, язык интерфейса, репозиторий, компилятор, сессии, криптование) Команда разработчиков с опытом создания нескольких банков (Тиньков, Интерактивный, ЦТБ-Банк) Постановка задач и разработка архитектуры – «от сценария» Разработка для эксплуатации – «всегда в агрессивной среде» Своя архитектура: механизм сессий, электронная подпись, архитектура связанных логов и др. Много-компонентная система безопасности
Загрузка… Особенности безопасного ВХОДА * 1) Изменяемый логин + СМС на вход; 2) Раздельный токен сессии (owasp.org); 3) Необратимое шифрование SHA-512 при передаче ключей; 4) Шифрование форм криптографией AES- 128 без обмена ключами; 5) Прочие рекомендации owasp.org (https, x-frame deny и тд);
Особенности СЕССИИ 1) Deep session – сессия не только client-server, но и server1-server2 на основе данных клиента; 2) One touch – сессия может быть проверена только один раз, после «первого прикосновения» стирается; 3) Per operation session – каждая операция – отдельная сессия, имеющая связь с сессией-родителем;
Загрузка… Особенности ЦИФРОВОЙ ПОДПИСИ * 1) Много-компонентная, каждый компонент отвечает за определенный вид атак; 2) Настраиваемая, клиент может настроить «под себя»; 3) Минимальный уровень настраивается банком и может меняться в зависимости от общего фона «опасности в сети»
Простая Сложная Максимальная
Собственная архитектура логирования: «связанные логи»
Собственная архитектура логирования: «связанные логи»
Удобство ? Безопасность 1) Цель хакеров – деньги, а не PR. Выбирая между банком, где платежи проводятся с одним SMS и банком где 40 степеней защиты, хакеры выбирают где проще, где один SMS. 2) Распространенная иллюзия банкиров: «Разумный баланс удобства и безопасности». Такого баланса не существует. Банк либо защищен либо уязвим. Для хакера такой баланс означает «незащищенный банк». 3) Аргументы для маркетинга: - ожидания бедного клиента от банка: безопасность, ценовая составляющая, наличие сервисов, удобность; - ожидания богатого клиента от банка: безопасность, наличие сервисов, удобность; Обе категории боятся потерять деньги, одна так как их мало, вторая так как их много :) 4) Вывод: безопасность Интернет-Банка всегда будет на первом месте.
Андрей Бухтияров основатель и главный разработчик online.sovcombank.ru

Recommended

QA Fest 2015. Татьяна Скрипник. Кросс-браузерность, что ты делаешь?.. Ах-ха-х...
QA Fest 2015. Татьяна Скрипник. Кросс-браузерность, что ты делаешь?.. Ах-ха-х...QA Fest 2015. Татьяна Скрипник. Кросс-браузерность, что ты делаешь?.. Ах-ха-х...
QA Fest 2015. Татьяна Скрипник. Кросс-браузерность, что ты делаешь?.. Ах-ха-х...QAFest
 
QA Fest 2015. Юрий Федько. XSS - от простого к сложному!
QA Fest 2015. Юрий Федько. XSS - от простого к сложному!QA Fest 2015. Юрий Федько. XSS - от простого к сложному!
QA Fest 2015. Юрий Федько. XSS - от простого к сложному!QAFest
 
Security testing
Security testingSecurity testing
Security testingMageCloud
 
Risspa domxss
Risspa domxssRisspa domxss
Risspa domxssyaevents
 
WebCamp 2016: PHP. Александр Шкарбалюк: SSO: Кому оно нужно и как его готовить?
WebCamp 2016: PHP. Александр Шкарбалюк: SSO: Кому оно нужно и как его готовить?WebCamp 2016: PHP. Александр Шкарбалюк: SSO: Кому оно нужно и как его готовить?
WebCamp 2016: PHP. Александр Шкарбалюк: SSO: Кому оно нужно и как его готовить?WebCamp
 
Сложные социальные приложения с помощью JS MVC фреймворков
Сложные социальные приложения с помощью JS MVC фреймворковСложные социальные приложения с помощью JS MVC фреймворков
Сложные социальные приложения с помощью JS MVC фреймворковz-tech
 
Improving web application defenses against XSS.
Improving web application defenses against XSS.Improving web application defenses against XSS.
Improving web application defenses against XSS.Grid Dynamics
 
SSO: Кому оно нужно и как его готовить?
SSO: Кому оно нужно и как его готовить?SSO: Кому оно нужно и как его готовить?
SSO: Кому оно нужно и как его готовить?Aleksandr Shkarbaliuk
 

Recommended

QA Fest 2015. Татьяна Скрипник. Кросс-браузерность, что ты делаешь?.. Ах-ха-х...
QA Fest 2015. Татьяна Скрипник. Кросс-браузерность, что ты делаешь?.. Ах-ха-х...QA Fest 2015. Татьяна Скрипник. Кросс-браузерность, что ты делаешь?.. Ах-ха-х...
QA Fest 2015. Татьяна Скрипник. Кросс-браузерность, что ты делаешь?.. Ах-ха-х...QAFest
 
QA Fest 2015. Юрий Федько. XSS - от простого к сложному!
QA Fest 2015. Юрий Федько. XSS - от простого к сложному!QA Fest 2015. Юрий Федько. XSS - от простого к сложному!
QA Fest 2015. Юрий Федько. XSS - от простого к сложному!QAFest
 
Security testing
Security testingSecurity testing
Security testingMageCloud
 
Risspa domxss
Risspa domxssRisspa domxss
Risspa domxssyaevents
 
WebCamp 2016: PHP. Александр Шкарбалюк: SSO: Кому оно нужно и как его готовить?
WebCamp 2016: PHP. Александр Шкарбалюк: SSO: Кому оно нужно и как его готовить?WebCamp 2016: PHP. Александр Шкарбалюк: SSO: Кому оно нужно и как его готовить?
WebCamp 2016: PHP. Александр Шкарбалюк: SSO: Кому оно нужно и как его готовить?WebCamp
 
Сложные социальные приложения с помощью JS MVC фреймворков
Сложные социальные приложения с помощью JS MVC фреймворковСложные социальные приложения с помощью JS MVC фреймворков
Сложные социальные приложения с помощью JS MVC фреймворковz-tech
 
Improving web application defenses against XSS.
Improving web application defenses against XSS.Improving web application defenses against XSS.
Improving web application defenses against XSS.Grid Dynamics
 
SSO: Кому оно нужно и как его готовить?
SSO: Кому оно нужно и как его готовить?SSO: Кому оно нужно и как его готовить?
SSO: Кому оно нужно и как его готовить?Aleksandr Shkarbaliuk
 
Почему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостингеПочему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостингеrevisium
 
Как я перестал бояться токенов и полюбил одноразовые пароли
Как я перестал бояться токенов и полюбил одноразовые паролиКак я перестал бояться токенов и полюбил одноразовые пароли
Как я перестал бояться токенов и полюбил одноразовые паролиDmitry Evteev
 
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищатьВзломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищатьrevisium
 
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежногоrevisium
 
Чат-бот как новый способ взаимодействия с клиентом
Чат-бот как новый способ взаимодействия с клиентомЧат-бот как новый способ взаимодействия с клиентом
Чат-бот как новый способ взаимодействия с клиентомVoximplant
 
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...QAFest
 
Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017revisium
 
Веб, насыщенный приложениями
Веб, насыщенный приложениямиВеб, насыщенный приложениями
Веб, насыщенный приложениямиSergey Galyonkin
 
Веб насыщенный приложениями
Веб насыщенный приложениямиВеб насыщенный приложениями
Веб насыщенный приложениямиTim Gorshkov
 
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.revisium
 
Типовые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системТиповые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системDmitry Evteev
 
FireEye IDC IT Security Roadshow Moscow 2016
FireEye IDC IT Security Roadshow Moscow 2016FireEye IDC IT Security Roadshow Moscow 2016
FireEye IDC IT Security Roadshow Moscow 2016Dmitry Ragushin
 
Многопользовательские браузерные игры нового типа
Многопользовательские браузерные игры нового типаМногопользовательские браузерные игры нового типа
Многопользовательские браузерные игры нового типаAnton Volkov
 
презентация абс.спо 3
презентация абс.спо 3презентация абс.спо 3
презентация абс.спо 3glg2001
 
Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)c3retc3
 
Безопасность CMS
Безопасность CMSБезопасность CMS
Безопасность CMS1С-Битрикс
 
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...Sigma Software
 
Periculum est in mora
Periculum est in moraPericulum est in mora
Periculum est in moraAlex Karlovich
 
Интеграция TeamCity и сервера символов | Алексей Соловьев
Интеграция TeamCity и сервера символов | Алексей СоловьевИнтеграция TeamCity и сервера символов | Алексей Соловьев
Интеграция TeamCity и сервера символов | Алексей СоловьевPositive Hack Days
 
ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...
ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...
ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...GoQA
 
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...Sigma Software
 
Pt devteev-risspa
Pt devteev-risspaPt devteev-risspa
Pt devteev-risspayaevents
 

More Related Content

What's hot

Почему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостингеПочему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостингеrevisium
 
Как я перестал бояться токенов и полюбил одноразовые пароли
Как я перестал бояться токенов и полюбил одноразовые паролиКак я перестал бояться токенов и полюбил одноразовые пароли
Как я перестал бояться токенов и полюбил одноразовые паролиDmitry Evteev
 
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищатьВзломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищатьrevisium
 
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежногоrevisium
 
Чат-бот как новый способ взаимодействия с клиентом
Чат-бот как новый способ взаимодействия с клиентомЧат-бот как новый способ взаимодействия с клиентом
Чат-бот как новый способ взаимодействия с клиентомVoximplant
 
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...QAFest
 
Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017revisium
 
Веб, насыщенный приложениями
Веб, насыщенный приложениямиВеб, насыщенный приложениями
Веб, насыщенный приложениямиSergey Galyonkin
 
Веб насыщенный приложениями
Веб насыщенный приложениямиВеб насыщенный приложениями
Веб насыщенный приложениямиTim Gorshkov
 
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.revisium
 

What's hot (10)

Почему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостингеПочему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостинге
 
Как я перестал бояться токенов и полюбил одноразовые пароли
Как я перестал бояться токенов и полюбил одноразовые паролиКак я перестал бояться токенов и полюбил одноразовые пароли
Как я перестал бояться токенов и полюбил одноразовые пароли
 
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищатьВзломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
 
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
 
Чат-бот как новый способ взаимодействия с клиентом
Чат-бот как новый способ взаимодействия с клиентомЧат-бот как новый способ взаимодействия с клиентом
Чат-бот как новый способ взаимодействия с клиентом
 
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
 
Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017
 
Веб, насыщенный приложениями
Веб, насыщенный приложениямиВеб, насыщенный приложениями
Веб, насыщенный приложениями
 
Веб насыщенный приложениями
Веб насыщенный приложениямиВеб насыщенный приложениями
Веб насыщенный приложениями
 
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
 

Similar to ЧатБанк – chatbank.ru от ПАО «Совкомбанк». Андрей Бухтияров, Совкомбанк

Типовые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системТиповые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системDmitry Evteev
 
FireEye IDC IT Security Roadshow Moscow 2016
FireEye IDC IT Security Roadshow Moscow 2016FireEye IDC IT Security Roadshow Moscow 2016
FireEye IDC IT Security Roadshow Moscow 2016Dmitry Ragushin
 
Многопользовательские браузерные игры нового типа
Многопользовательские браузерные игры нового типаМногопользовательские браузерные игры нового типа
Многопользовательские браузерные игры нового типаAnton Volkov
 
презентация абс.спо 3
презентация абс.спо 3презентация абс.спо 3
презентация абс.спо 3glg2001
 
Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)c3retc3
 
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...Sigma Software
 
Интеграция TeamCity и сервера символов | Алексей Соловьев
Интеграция TeamCity и сервера символов | Алексей СоловьевИнтеграция TeamCity и сервера символов | Алексей Соловьев
Интеграция TeamCity и сервера символов | Алексей СоловьевPositive Hack Days
 
ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...
ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...
ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...GoQA
 
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...Sigma Software
 
Pt devteev-risspa
Pt devteev-risspaPt devteev-risspa
Pt devteev-risspayaevents
 
Интеграция информационных систем с использованием OpenSource ESB
Интеграция информационных систем с использованием OpenSource ESBИнтеграция информационных систем с использованием OpenSource ESB
Интеграция информационных систем с использованием OpenSource ESBКРОК
 
Banking Security Misunderstanding
Banking Security MisunderstandingBanking Security Misunderstanding
Banking Security MisunderstandingAleksey Lukatskiy
 
Соответствие решений Cisco требованиям письма Банка России 49-Т
Соответствие решений Cisco требованиям письма Банка России 49-ТСоответствие решений Cisco требованиям письма Банка России 49-Т
Соответствие решений Cisco требованиям письма Банка России 49-ТCisco Russia
 
Web весна 2013 лекция 11
Web весна 2013 лекция 11Web весна 2013 лекция 11
Web весна 2013 лекция 11Technopark
 
безопасность
безопасностьбезопасность
безопасностьShoplist
 
Подходы к сигнатурному статическому анализу
Подходы к сигнатурному статическому анализуПодходы к сигнатурному статическому анализу
Подходы к сигнатурному статическому анализуPositive Development User Group
 
«Взломать за 60 секунд», Артем Кулаков, Redmadrobot
«Взломать за 60 секунд», Артем Кулаков, Redmadrobot«Взломать за 60 секунд», Артем Кулаков, Redmadrobot
«Взломать за 60 секунд», Артем Кулаков, RedmadrobotMail.ru Group
 

Similar to ЧатБанк – chatbank.ru от ПАО «Совкомбанк». Андрей Бухтияров, Совкомбанк (20)

Типовые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системТиповые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских систем
 
FireEye IDC IT Security Roadshow Moscow 2016
FireEye IDC IT Security Roadshow Moscow 2016FireEye IDC IT Security Roadshow Moscow 2016
FireEye IDC IT Security Roadshow Moscow 2016
 
Многопользовательские браузерные игры нового типа
Многопользовательские браузерные игры нового типаМногопользовательские браузерные игры нового типа
Многопользовательские браузерные игры нового типа
 
презентация абс.спо 3
презентация абс.спо 3презентация абс.спо 3
презентация абс.спо 3
 
Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)
 
Безопасность CMS
Безопасность CMSБезопасность CMS
Безопасность CMS
 
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
 
Periculum est in mora
Periculum est in moraPericulum est in mora
Periculum est in mora
 
Интеграция TeamCity и сервера символов | Алексей Соловьев
Интеграция TeamCity и сервера символов | Алексей СоловьевИнтеграция TeamCity и сервера символов | Алексей Соловьев
Интеграция TeamCity и сервера символов | Алексей Соловьев
 
ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...
ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...
ЄВГЕНІЙ ТОЛЧИНСКИЙ «Як manual QA може протестувати проект з боку security» QA...
 
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
Как мануальный тестировщик может базово протестировать безопасность, Евгений ...
 
Pt devteev-risspa
Pt devteev-risspaPt devteev-risspa
Pt devteev-risspa
 
Интеграция информационных систем с использованием OpenSource ESB
Интеграция информационных систем с использованием OpenSource ESBИнтеграция информационных систем с использованием OpenSource ESB
Интеграция информационных систем с использованием OpenSource ESB
 
Banking Security Misunderstanding
Banking Security MisunderstandingBanking Security Misunderstanding
Banking Security Misunderstanding
 
Соответствие решений Cisco требованиям письма Банка России 49-Т
Соответствие решений Cisco требованиям письма Банка России 49-ТСоответствие решений Cisco требованиям письма Банка России 49-Т
Соответствие решений Cisco требованиям письма Банка России 49-Т
 
Web весна 2013 лекция 11
Web весна 2013 лекция 11Web весна 2013 лекция 11
Web весна 2013 лекция 11
 
безопасность
безопасностьбезопасность
безопасность
 
Подходы к сигнатурному статическому анализу
Подходы к сигнатурному статическому анализуПодходы к сигнатурному статическому анализу
Подходы к сигнатурному статическому анализу
 
Безопасность
БезопасностьБезопасность
Безопасность
 
«Взломать за 60 секунд», Артем Кулаков, Redmadrobot
«Взломать за 60 секунд», Артем Кулаков, Redmadrobot«Взломать за 60 секунд», Артем Кулаков, Redmadrobot
«Взломать за 60 секунд», Артем Кулаков, Redmadrobot
 

More from Банковское обозрение

Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...Банковское обозрение
 
Максим Русаков, SRG: «Автоматизация контроля залоговой стоимости недвижимости»
Максим Русаков, SRG: «Автоматизация контроля залоговой стоимости недвижимости»Максим Русаков, SRG: «Автоматизация контроля залоговой стоимости недвижимости»
Максим Русаков, SRG: «Автоматизация контроля залоговой стоимости недвижимости»Банковское обозрение
 
Евгений Федоров. НАОК: «Сотрудничество с банками в смежных с оценкой областях»
Евгений Федоров. НАОК: «Сотрудничество с банками в смежных с оценкой областях»Евгений Федоров. НАОК: «Сотрудничество с банками в смежных с оценкой областях»
Евгений Федоров. НАОК: «Сотрудничество с банками в смежных с оценкой областях»Банковское обозрение
 
Владимир Гамза, ТПП РФ: «Проблемы использования объектов интеллектуальной соб...
Владимир Гамза, ТПП РФ: «Проблемы использования объектов интеллектуальной соб...Владимир Гамза, ТПП РФ: «Проблемы использования объектов интеллектуальной соб...
Владимир Гамза, ТПП РФ: «Проблемы использования объектов интеллектуальной соб...Банковское обозрение
 
Сергей Федоренков, ТрансКапиталБанк: «Оптимизация процессов залогового сервиса»
Сергей Федоренков, ТрансКапиталБанк: «Оптимизация процессов залогового сервиса»Сергей Федоренков, ТрансКапиталБанк: «Оптимизация процессов залогового сервиса»
Сергей Федоренков, ТрансКапиталБанк: «Оптимизация процессов залогового сервиса»Банковское обозрение
 
Константин Клепак, МТС-Банк: «Некоторые особенности залога отдельных видов им...
Константин Клепак, МТС-Банк: «Некоторые особенности залога отдельных видов им...Константин Клепак, МТС-Банк: «Некоторые особенности залога отдельных видов им...
Константин Клепак, МТС-Банк: «Некоторые особенности залога отдельных видов им...Банковское обозрение
 
Алексей Кравцов, Арбитражный третейский суд Москвы: «Как добиться взыскания з...
Алексей Кравцов, Арбитражный третейский суд Москвы: «Как добиться взыскания з...Алексей Кравцов, Арбитражный третейский суд Москвы: «Как добиться взыскания з...
Алексей Кравцов, Арбитражный третейский суд Москвы: «Как добиться взыскания з...Банковское обозрение
 
Ирина Вишневская, «Беркшир Адвайзори Групп»: «Ликвидность залогов»
Ирина Вишневская, «Беркшир Адвайзори Групп»: «Ликвидность залогов»Ирина Вишневская, «Беркшир Адвайзори Групп»: «Ликвидность залогов»
Ирина Вишневская, «Беркшир Адвайзори Групп»: «Ликвидность залогов»Банковское обозрение
 
Олег Визгалин, ВЭБ: «Управление залогом. Новые возможности и перспективы»
Олег Визгалин, ВЭБ: «Управление залогом. Новые возможности и перспективы»Олег Визгалин, ВЭБ: «Управление залогом. Новые возможности и перспективы»
Олег Визгалин, ВЭБ: «Управление залогом. Новые возможности и перспективы»Банковское обозрение
 
Александр Сагин, Федеральная нотариальная палата: «Реестр уведомлений о залог...
Александр Сагин, Федеральная нотариальная палата: «Реестр уведомлений о залог...Александр Сагин, Федеральная нотариальная палата: «Реестр уведомлений о залог...
Александр Сагин, Федеральная нотариальная палата: «Реестр уведомлений о залог...Банковское обозрение
 
Оксана Мишининская, Росреестр: «Сервис по государственной регистрации прав в ...
Оксана Мишининская, Росреестр: «Сервис по государственной регистрации прав в ...Оксана Мишининская, Росреестр: «Сервис по государственной регистрации прав в ...
Оксана Мишининская, Росреестр: «Сервис по государственной регистрации прав в ...Банковское обозрение
 
Павел Русаков, «Мобильный оценщик»: «Автоматизация оценки и управления недвиж...
Павел Русаков, «Мобильный оценщик»: «Автоматизация оценки и управления недвиж...Павел Русаков, «Мобильный оценщик»: «Автоматизация оценки и управления недвиж...
Павел Русаков, «Мобильный оценщик»: «Автоматизация оценки и управления недвиж...Банковское обозрение
 
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...Банковское обозрение
 
Александр Слуцкий, НАОК: «Изменения в федеральный стандарт оценки «Оценка для...
Александр Слуцкий, НАОК: «Изменения в федеральный стандарт оценки «Оценка для...Александр Слуцкий, НАОК: «Изменения в федеральный стандарт оценки «Оценка для...
Александр Слуцкий, НАОК: «Изменения в федеральный стандарт оценки «Оценка для...Банковское обозрение
 
Татьяна Морозова, ЦБ РФ: «Применение норм Инструкций Банка России № 176-И, 14...
Татьяна Морозова, ЦБ РФ: «Применение норм Инструкций Банка России № 176-И, 14...Татьяна Морозова, ЦБ РФ: «Применение норм Инструкций Банка России № 176-И, 14...
Татьяна Морозова, ЦБ РФ: «Применение норм Инструкций Банка России № 176-И, 14...Банковское обозрение
 
Мария Комиссарова, ЦБ РФ: «Экспертиза предмета залога»
Мария Комиссарова, ЦБ РФ: «Экспертиза предмета залога»Мария Комиссарова, ЦБ РФ: «Экспертиза предмета залога»
Мария Комиссарова, ЦБ РФ: «Экспертиза предмета залога»Банковское обозрение
 
Симбиоз DLP и SIEM. Комплексный подход к обеспечению информационной безопасно...
Симбиоз DLP и SIEM. Комплексный подход к обеспечению информационной безопасно...Симбиоз DLP и SIEM. Комплексный подход к обеспечению информационной безопасно...
Симбиоз DLP и SIEM. Комплексный подход к обеспечению информационной безопасно...Банковское обозрение
 
Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...
Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...
Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...Банковское обозрение
 
Национальная биометрическая платформа. Григорий Сальников, РТЛабс
Национальная биометрическая платформа. Григорий Сальников, РТЛабсНациональная биометрическая платформа. Григорий Сальников, РТЛабс
Национальная биометрическая платформа. Григорий Сальников, РТЛабсБанковское обозрение
 
Готовы ли Ваши клиенты противостоять информационным угрозам? Антонян Сергей, ...
Готовы ли Ваши клиенты противостоять информационным угрозам? Антонян Сергей, ...Готовы ли Ваши клиенты противостоять информационным угрозам? Антонян Сергей, ...
Готовы ли Ваши клиенты противостоять информационным угрозам? Антонян Сергей, ...Банковское обозрение
 

More from Банковское обозрение (20)

Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...
 
Максим Русаков, SRG: «Автоматизация контроля залоговой стоимости недвижимости»
Максим Русаков, SRG: «Автоматизация контроля залоговой стоимости недвижимости»Максим Русаков, SRG: «Автоматизация контроля залоговой стоимости недвижимости»
Максим Русаков, SRG: «Автоматизация контроля залоговой стоимости недвижимости»
 
Евгений Федоров. НАОК: «Сотрудничество с банками в смежных с оценкой областях»
Евгений Федоров. НАОК: «Сотрудничество с банками в смежных с оценкой областях»Евгений Федоров. НАОК: «Сотрудничество с банками в смежных с оценкой областях»
Евгений Федоров. НАОК: «Сотрудничество с банками в смежных с оценкой областях»
 
Владимир Гамза, ТПП РФ: «Проблемы использования объектов интеллектуальной соб...
Владимир Гамза, ТПП РФ: «Проблемы использования объектов интеллектуальной соб...Владимир Гамза, ТПП РФ: «Проблемы использования объектов интеллектуальной соб...
Владимир Гамза, ТПП РФ: «Проблемы использования объектов интеллектуальной соб...
 
Сергей Федоренков, ТрансКапиталБанк: «Оптимизация процессов залогового сервиса»
Сергей Федоренков, ТрансКапиталБанк: «Оптимизация процессов залогового сервиса»Сергей Федоренков, ТрансКапиталБанк: «Оптимизация процессов залогового сервиса»
Сергей Федоренков, ТрансКапиталБанк: «Оптимизация процессов залогового сервиса»
 
Константин Клепак, МТС-Банк: «Некоторые особенности залога отдельных видов им...
Константин Клепак, МТС-Банк: «Некоторые особенности залога отдельных видов им...Константин Клепак, МТС-Банк: «Некоторые особенности залога отдельных видов им...
Константин Клепак, МТС-Банк: «Некоторые особенности залога отдельных видов им...
 
Алексей Кравцов, Арбитражный третейский суд Москвы: «Как добиться взыскания з...
Алексей Кравцов, Арбитражный третейский суд Москвы: «Как добиться взыскания з...Алексей Кравцов, Арбитражный третейский суд Москвы: «Как добиться взыскания з...
Алексей Кравцов, Арбитражный третейский суд Москвы: «Как добиться взыскания з...
 
Ирина Вишневская, «Беркшир Адвайзори Групп»: «Ликвидность залогов»
Ирина Вишневская, «Беркшир Адвайзори Групп»: «Ликвидность залогов»Ирина Вишневская, «Беркшир Адвайзори Групп»: «Ликвидность залогов»
Ирина Вишневская, «Беркшир Адвайзори Групп»: «Ликвидность залогов»
 
Олег Визгалин, ВЭБ: «Управление залогом. Новые возможности и перспективы»
Олег Визгалин, ВЭБ: «Управление залогом. Новые возможности и перспективы»Олег Визгалин, ВЭБ: «Управление залогом. Новые возможности и перспективы»
Олег Визгалин, ВЭБ: «Управление залогом. Новые возможности и перспективы»
 
Александр Сагин, Федеральная нотариальная палата: «Реестр уведомлений о залог...
Александр Сагин, Федеральная нотариальная палата: «Реестр уведомлений о залог...Александр Сагин, Федеральная нотариальная палата: «Реестр уведомлений о залог...
Александр Сагин, Федеральная нотариальная палата: «Реестр уведомлений о залог...
 
Оксана Мишининская, Росреестр: «Сервис по государственной регистрации прав в ...
Оксана Мишининская, Росреестр: «Сервис по государственной регистрации прав в ...Оксана Мишининская, Росреестр: «Сервис по государственной регистрации прав в ...
Оксана Мишининская, Росреестр: «Сервис по государственной регистрации прав в ...
 
Павел Русаков, «Мобильный оценщик»: «Автоматизация оценки и управления недвиж...
Павел Русаков, «Мобильный оценщик»: «Автоматизация оценки и управления недвиж...Павел Русаков, «Мобильный оценщик»: «Автоматизация оценки и управления недвиж...
Павел Русаков, «Мобильный оценщик»: «Автоматизация оценки и управления недвиж...
 
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...
 
Александр Слуцкий, НАОК: «Изменения в федеральный стандарт оценки «Оценка для...
Александр Слуцкий, НАОК: «Изменения в федеральный стандарт оценки «Оценка для...Александр Слуцкий, НАОК: «Изменения в федеральный стандарт оценки «Оценка для...
Александр Слуцкий, НАОК: «Изменения в федеральный стандарт оценки «Оценка для...
 
Татьяна Морозова, ЦБ РФ: «Применение норм Инструкций Банка России № 176-И, 14...
Татьяна Морозова, ЦБ РФ: «Применение норм Инструкций Банка России № 176-И, 14...Татьяна Морозова, ЦБ РФ: «Применение норм Инструкций Банка России № 176-И, 14...
Татьяна Морозова, ЦБ РФ: «Применение норм Инструкций Банка России № 176-И, 14...
 
Мария Комиссарова, ЦБ РФ: «Экспертиза предмета залога»
Мария Комиссарова, ЦБ РФ: «Экспертиза предмета залога»Мария Комиссарова, ЦБ РФ: «Экспертиза предмета залога»
Мария Комиссарова, ЦБ РФ: «Экспертиза предмета залога»
 
Симбиоз DLP и SIEM. Комплексный подход к обеспечению информационной безопасно...
Симбиоз DLP и SIEM. Комплексный подход к обеспечению информационной безопасно...Симбиоз DLP и SIEM. Комплексный подход к обеспечению информационной безопасно...
Симбиоз DLP и SIEM. Комплексный подход к обеспечению информационной безопасно...
 
Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...
Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...
Анти-фрод системы: правовые и технические аспекты, перспективы применения и к...
 
Национальная биометрическая платформа. Григорий Сальников, РТЛабс
Национальная биометрическая платформа. Григорий Сальников, РТЛабсНациональная биометрическая платформа. Григорий Сальников, РТЛабс
Национальная биометрическая платформа. Григорий Сальников, РТЛабс
 
Готовы ли Ваши клиенты противостоять информационным угрозам? Антонян Сергей, ...
Готовы ли Ваши клиенты противостоять информационным угрозам? Антонян Сергей, ...Готовы ли Ваши клиенты противостоять информационным угрозам? Антонян Сергей, ...
Готовы ли Ваши клиенты противостоять информационным угрозам? Антонян Сергей, ...
 

ЧатБанк – chatbank.ru от ПАО «Совкомбанк». Андрей Бухтияров, Совкомбанк

  • 1. ЧатБанк – chatbank.ru от ПАО «Совкомбанк» * Интернет-Банк с самым большим в России количеством элементов безопасности Андрей Бухтияров основатель и главный разработчик online.sovcombank.ru
  • 2. Особенности создания и эксплуатации Интернет-Банка ЧатБанк Собственная платформа, включая среду разработки (все, язык интерфейса, репозиторий, компилятор, сессии, криптование) Команда разработчиков с опытом создания нескольких банков (Тиньков, Интерактивный, ЦТБ-Банк) Постановка задач и разработка архитектуры – «от сценария» Разработка для эксплуатации – «всегда в агрессивной среде» Своя архитектура: механизм сессий, электронная подпись, архитектура связанных логов и др. Много-компонентная система безопасности
  • 3. Загрузка… Особенности безопасного ВХОДА * 1) Изменяемый логин + СМС на вход; 2) Раздельный токен сессии (owasp.org); 3) Необратимое шифрование SHA-512 при передаче ключей; 4) Шифрование форм криптографией AES- 128 без обмена ключами; 5) Прочие рекомендации owasp.org (https, x-frame deny и тд);
  • 4. Особенности СЕССИИ 1) Deep session – сессия не только client-server, но и server1-server2 на основе данных клиента; 2) One touch – сессия может быть проверена только один раз, после «первого прикосновения» стирается; 3) Per operation session – каждая операция – отдельная сессия, имеющая связь с сессией-родителем;
  • 5. Загрузка… Особенности ЦИФРОВОЙ ПОДПИСИ * 1) Много-компонентная, каждый компонент отвечает за определенный вид атак; 2) Настраиваемая, клиент может настроить «под себя»; 3) Минимальный уровень настраивается банком и может меняться в зависимости от общего фона «опасности в сети»
  • 9. Удобство ? Безопасность 1) Цель хакеров – деньги, а не PR. Выбирая между банком, где платежи проводятся с одним SMS и банком где 40 степеней защиты, хакеры выбирают где проще, где один SMS. 2) Распространенная иллюзия банкиров: «Разумный баланс удобства и безопасности». Такого баланса не существует. Банк либо защищен либо уязвим. Для хакера такой баланс означает «незащищенный банк». 3) Аргументы для маркетинга: - ожидания бедного клиента от банка: безопасность, ценовая составляющая, наличие сервисов, удобность; - ожидания богатого клиента от банка: безопасность, наличие сервисов, удобность; Обе категории боятся потерять деньги, одна так как их мало, вторая так как их много :) 4) Вывод: безопасность Интернет-Банка всегда будет на первом месте.
  • 10. Андрей Бухтияров основатель и главный разработчик online.sovcombank.ru