Анализ технологий на соответствие базовым требованиям к системам электронных платежей
Материалы » Анализ электронных платежных систем » Анализ технологий на соответствие базовым требованиям к системам
электронных платежей
Выше мы описали три технологии, которые могут быть использованы при построении платежных систем через Интернет: это технология, основанная на Java-апплетах, компонентах Active-X и встраиваемых модулях Plug-in. Назовем их технологии J, AX и P соответственно. Доставка из Польши в Россию
Рассмотрим требование об неувеличении возможностей атак злоумышленника на компьютер. Для этого проанализируем один из возможных типов атак - подмену злоумышленником соответствующих клиентских модулей защиты. В случае технологии J - это апплеты, В случае AX - погружаемые компоненты, в случае P - это включаемые модули Plug-in. Очевидно, что у злоумышленника существует возможность подменить модули защиты непосредственно на компьютере клиента. Механизмы реализации данной атаки лежат за пределами данного анализа, тем не менее, необходимо отметить, что реализация данной атаки не зависит от рассматриваемой технологии защиты. И уровень защищенности каждой технологии совпадает, т.е. все они одинаково неустойчивы к данной атаке.
Самым уязвимым местом в технологиях J и AX, с точки зрения подмены, является их загрузка из Интернет. Именно в этот момент злоумышленник может осуществить подмену. Более того, если злоумышленнику удается осуществить подмену данных модулей на сервере банка, то он получает доступ ко всем объемам информации платежной системы, циркулирующие в Интернет.
В случае технологии P опасности подмены нет, так как модуль не загружается из сети - он постоянно хранится на компьютере клиента.
Последствия подмены различны: в случае J-технологии злоумышленник может только похитить вводимую клиентом информацию (что является серьезной угрозой), а в случае, Active-X и Plug-in злоумышленник может получить любую информацию, к которой имеет доступ, работающий на компьютере клиент.
В настоящее время автору неизвестны конкретные способы реализации атак по подмене Java-апплетов. Видимо данные атаки плохо развиваются, так как результирующие возможности по похищению информации практически отсутствуют. А вот атаки на компоненты Active-X широко распространены и хорошо известны.
Рассмотрим требование о защите информации, циркулирующей в системе электронных платежей через Интернет. Очевидно, что в этом случае технология J уступает и P и AX в одном очень существенном вопросе. Все механизмы защиты информации основаны на шифровании или электронной подписи, а все соответствующие алгоритмы основаны на криптографических преобразованиях, которые требуют введения ключевых элементов. В настоящее время длина ключевых элементов составляет порядка 32-128 байт, поэтому требовать введения их пользователем с клавиатуры практически невозможно. Возникает вопрос как их вводить? Так как технологии P и AX имеют доступ к ресурсам компьютера, то решение данной проблемы очевидно и хорошо известно - ключи считываются из локальных файлов, с флоппи-дисков, таблеток или smart-карт. А вот в случае технологии J такой ввод невозможен, значит приходится либо требовать от клиента ввода длинной последовательности неосмысленной информации, либо, уменьшая длину ключевых элементов, снижать стойкость криптографических преобразований и следовательно снижать надежность механизмов защиты. Причем данное снижение является очень существенным.
Статьи по теме:
Цели и задачи
риск-менеджмента в банках
В связи с постоянным ростом влияния риска на финансовую деятельность особенно актуальной становится проблема банковского менеджмента – управления банковскими рисками, то есть использование различных мер, позволяющих в определенной степени прогнозировать наступление рискового события в банковской д ...
Анализ обеспеченности Республики Саха и России банковскими кредитными
ресурсами
Сегодня по состоянию на 01.01.09 всего 5 действующих республиканских банков в РС (Я). Кроме того, в Якутии открыты 38 филиалов инорегиональных банков и 9 филиалов местных региональных банков. В 2006 г. в республику вошли три новых банка, в 2008 году – еще один банк. Тенденция очевидная, учитывая, ...
Операции, совершаемые с использованием пластиковых карт
в РФ и за рубежом
По одному счету клиента могут совершаться операции с использованием нескольких расчетных (дебетовых) карт, кредитных карт, выданных кредитной организацией - эмитентом. По нескольким счетам клиентов могут совершаться операции с использованием одной расчетной (дебетовой) карты или кредитной карты, в ...