Анализ технологий на соответствие базовым требованиям к системам электронных платежей

Материалы » Анализ электронных платежных систем » Анализ технологий на соответствие базовым требованиям к системам электронных платежей

Выше мы описали три технологии, которые могут быть использованы при построении платежных систем через Интернет: это технология, основанная на Java-апплетах, компонентах Active-X и встраиваемых модулях Plug-in. Назовем их технологии J, AX и P соответственно.

Рассмотрим требование об неувеличении возможностей атак злоумышленника на компьютер. Для этого проанализируем один из возможных типов атак - подмену злоумышленником соответствующих клиентских модулей защиты. В случае технологии J - это апплеты, В случае AX - погружаемые компоненты, в случае P - это включаемые модули Plug-in. Очевидно, что у злоумышленника существует возможность подменить модули защиты непосредственно на компьютере клиента. Механизмы реализации данной атаки лежат за пределами данного анализа, тем не менее, необходимо отметить, что реализация данной атаки не зависит от рассматриваемой технологии защиты. И уровень защищенности каждой технологии совпадает, т.е. все они одинаково неустойчивы к данной атаке.

Самым уязвимым местом в технологиях J и AX, с точки зрения подмены, является их загрузка из Интернет. Именно в этот момент злоумышленник может осуществить подмену. Более того, если злоумышленнику удается осуществить подмену данных модулей на сервере банка, то он получает доступ ко всем объемам информации платежной системы, циркулирующие в Интернет.

В случае технологии P опасности подмены нет, так как модуль не загружается из сети - он постоянно хранится на компьютере клиента.

Последствия подмены различны: в случае J-технологии злоумышленник может только похитить вводимую клиентом информацию (что является серьезной угрозой), а в случае, Active-X и Plug-in злоумышленник может получить любую информацию, к которой имеет доступ, работающий на компьютере клиент.

В настоящее время автору неизвестны конкретные способы реализации атак по подмене Java-апплетов. Видимо данные атаки плохо развиваются, так как результирующие возможности по похищению информации практически отсутствуют. А вот атаки на компоненты Active-X широко распространены и хорошо известны.

Рассмотрим требование о защите информации, циркулирующей в системе электронных платежей через Интернет. Очевидно, что в этом случае технология J уступает и P и AX в одном очень существенном вопросе. Все механизмы защиты информации основаны на шифровании или электронной подписи, а все соответствующие алгоритмы основаны на криптографических преобразованиях, которые требуют введения ключевых элементов. В настоящее время длина ключевых элементов составляет порядка 32-128 байт, поэтому требовать введения их пользователем с клавиатуры практически невозможно. Возникает вопрос как их вводить? Так как технологии P и AX имеют доступ к ресурсам компьютера, то решение данной проблемы очевидно и хорошо известно - ключи считываются из локальных файлов, с флоппи-дисков, таблеток или smart-карт. А вот в случае технологии J такой ввод невозможен, значит приходится либо требовать от клиента ввода длинной последовательности неосмысленной информации, либо, уменьшая длину ключевых элементов, снижать стойкость криптографических преобразований и следовательно снижать надежность механизмов защиты. Причем данное снижение является очень существенным.

Статьи по теме:

Услуги юридическим и физическим лицам
В соответствии с рассмотренной классификацией и в зависимос­ти от субъектов получения услуги предоставляются как юридическим , так и физическим лицам . Практически набор услуг тем и другим ли­цам может быть в тех или иных банках одинаков, неодинаковым мо­жет оказаться только их объем. В сводном п ...

Операции по международным расчетам, связанные с экспортом и импортом товаров и услуг
Во внешней торговле применяются следующие формы расчетов: Документарный аккредитив (Приложение 1) – обязательство банка-эмитента по просьбе своего клиента-приказодателя (импортера) произвести платеж в пользу экспортера (бенефициара) против документов, указанных в аккредитиве. При расчетах по эксп ...

Основные характеристики рынка ценных бумаг
В силу разнообразия инструментов финансового рынка давать единую синтетическую оценку его масштабов представляется нецелесообразным (да и просто невозможным), хотя в известных пределах суммирование допустимо. Например, рынков долговых и долевых ценных бумаг. Тем не менее, более корректно рассмотре ...