Смотри, что заверяешь

USB-ключи провалились. Они были сделаны, чтобы защищать электронный документооборот, но не справились. Троянские программы могут вертеть ими как хотят. То есть они по-прежнему не могут получить доступ к секретному ключу, но этого и не нужно, если можно передать в подключенный к компьютеру ключ на подписание любой документ, а пользователь об этом даже не узнает. При этом мошенники, которые занимаются опустошением корпоративных счетов с помощью ДБО, даже любят пользователей, которые старательно используют USB-ключи. Как пояснил Илья Сачков, генеральный директор Group-IB, "раз человек заботится о своей безопасности, то у него есть деньги." Это и понятно - подделав подпись, мошенник фактически берёт банк в союзники, поскольку, согласно договорам, виноват в этом случае гарантированно клиент, поскольку не обеспечил... и не выполнил... В общем, если тебя протроянили, то сам дурак.

Производители токенов, естественно, бьют тревогу - земля-то под ними горит. Ещё чуть-чуть и клиенты начнут отказываться от их продукции, которая, оказывается, не может обеспечить стопроцентой защиты. Поэтому они уже начали предлагать дополнительные устройства, которые позволяют клиенту проверять реквизиты платежей перед простановкой на документе электронной подписи.

Конечно правильным решением было бы создание полностью защищённой среды, в которой модификация операционной системы и важных её компонент была бы невозможна. И даже есть такие проекты - Aladdin R.D. совместно с Kraftway разработали и выпустили на рынок специальные устройства, в которых перед запуском целостность операционной системы проверяется с помощью сертификата, который хранился на подключённом к нему eToken. Однако переход на такие защищённые терминалы достаточно затратен - дешевле ключевой момент подписания документа вынести за пределы ненадёжной среды. И такие решения начали появляться.

Самым простым из предложенных на российском рынке является дополнительная USB-клавиатура, которая передаёт данные о нажатых клавишах не в открытом виде, но зашифрованными с простановкой на всем пакете данных идентификатора клавиатуры. Такой продукт, например, разработала компания СОГАЗ. Для бухгалтера подобная клавиатура не очень удобна, поскольку не позволяет копировать реквизиты платежей в системе, но требует каждый раз вводить двадцатизначные номера счетов от руки. Разработчики несколько упростили задачу, снабдив устройство памятью на сто номеров, но в любом случае такое чудо усложняет операции с ДБО, особенно пакетные, в которых в банк передаётся не одна платёжка, но несколько. Тем не менее, возможно, кому-то такое устройство понравится - стоит оно, по заверениям разработчика две - три тыс. руб.

Ещё одним продуктом для контроля ввода, появившемся на российском рынке является SafeTouch, разработанный компанией SafeTech. Оно представляет собой ридер смарт-карт, снабжённый экраном и подключаемый по USB. С его помощью клиент может не только заверить платёжку с помощью сертификата, который хранится на карте, но и просмотреть её реквизиты на небольшом алфавитно цифровом экранчике. Правда, пока данный терминал поддерживает сертификаты, которые храняться на смарт-картах eToken. Однако с помощью того же устройства можно читать и любые другие смарт-карты, что могут использовать в других приложениях. Производитель назвал цену устройств в 1600 руб. В стоимость не входит цена смарт-карты, которая используется для хранения сертификата подписи.

Аналогичный продукт выпустила и компания "Актив" под названием PINPad. Оно уже имеет небольшой цветной сенсорный экранчик, который позволяет вводить цифры, так и проверять реквизиты документа. Устройство снабжено USB-портом, к которому можно подключить USB-ключ "Рутокен", с помощью которого также можно заверить транзакцию. Разработчик предлагает подобные устройства по цене в три тыс. руб. - в стоимость не входит USB-ключ для заверения транзакции.

Однако все перечисленные аппаратные устройства требуют установки программного обеспечения на компьютер, с которого выполняются транзакции. Это не позволяет выполнять операции из интернет-кофе или с корпоративного компьютера, где невозможно установить дополнительное программное обеспечение. То есть устройство можно использовать только в паре с конкретным компьютером. Если же есть потребность в заверении транзакций с чужого компьютера, то лучше пользоваться другим аппаратным устройством компании Agses, которое не требует подключения к компьютеру, но позволяет обезопасить транзакции через сайт. Оно получает информацию из банка с помощью шести фотодиодов и специального скрипта на сайте. Устройство прикладывается к экрану и считывает с него информацию о реквизитах платежа, которые показывает на небольшом экранчике. Если пользователь согласен с транзакцией, то он должен автаризоваться по отпечаткам пальцев, для чего в устройстве есть щелевой биометрический сканер, а потом набрать на сайте сгенерированный устройством одноразовый пароль.

Таким образом на российском рынке появилось одновременно сразу несколько устройств, которые позволяют проконтролировать ввод реквизитов транзакции и защитить клиентов ДБО от рисков перехвата платёжного поручения и фиктивной подписи. По оценкам Ильи Сачкова защиты с помощью таких устройств может хватить по крайней мере лет на пять. Впрочем, понятно, что данными устройствами, скорее всего, будут пользоваться клиенты с большим количеством транзакций и работающий с большими деньгами. Поэтому велика вероятность, что против подобной системы защиты будет проведена целенаправленная атака на компрометацию PKI-системы банка. Сейчас злоумышленники уже начали практиковать подобные атаки. Впрочем, ещё достаточно долго злоумышленники будут использовать старые методы атак, поскольку до сих пор наиболее распространённым способом хранения секретного ключа подписи является дискета.

Tweet