воскресенье, 16 апреля 2017 г.

От информационной до финансовой один шаг

Данный блог, посвященный проблемам информационной безопасности, я успешно веду с 2010 года, то есть уже около 7 лет. Много это или мало? Хорошо это или плохо? Все мы уже знаем основные постулаты инфобеза: ААА, логирование, обновления, уязвимости, СКЗИ и др. Успешно осваиваем новые примудрости: бигдата, облака, SIEM. Чтим основные требования регуляторов: 152-ФЗ, 161-ФЗ, PCI DSS. Но всё же, нужно смотреть на мир шире, смотреть в сторону самих активов, которые доблестно защищает наша с вами информационная безопасность.
Оказывается, хранить деньги, не теряя их благодаря инфляции это не так-то и просто. И обычных вкладов в банках тут не достаточно. Многие ли знают, как в свою сторону повернуть использование кредитных средств, чтобы они стали не пассивом, а активом? Получится, так называемый, хороший кредит, когда большинство же людей «давятся» от плохих кредитов. А многие ли знают, что такое «лесенка» вкладов? А заблуждение, что до 1.4 млн. руб. все банки одинаково полезны? Но это совсем не так, есть еще и «тетрадочные» вклады, и что нужно знать, чтобы в них не попасть?

Эти и многие другие прикладные вопросы я и рассматриваю в своём новом блоге под названием Экономщик.рф.

среда, 14 декабря 2016 г.

Все доверяют свои паспорта курьерам?

Не секрет, что в последнее время банки активно продолжают осваивать дистанционные методы работы со своими клиентами. Делается это для привлечения дополнительной «продвинутой» аудитории в ряды своих клиентов. Такой формат работы всегда начинается с заявки на продукт на сайте банка. Чаще всего в качестве продукта выступает банковская карта, но это может быть и вклад, и брокерский счет, и даже услуга по конвертации валюты.
Итак, после уточнения по телефону желаний клиента, а также паспортных данных к вам выезжает работник банка или вовсе курьер из сторонней организации. Такой выездной работник привозит клиенту необходимые документы, например, договор на банковскую карту. Тут же он начинает фотографировать ваш паспорт и вас. Я давно предполагал, что на этом этапе могут легко утекать паспортные данные. Я всегда спрашивал у курьеров с помощью чего они фотографируют и пересылают мои персональные данные. И получал ответ, что не нужно беспокоиться, т.к. у них всё передается в защищенном виде и курьер не имеет доступа к пересылаемым фотографиям. Как это делается на самом деле, я хочу показать из обсуждения на банковском форуме:


Теперь формально. Согласно Википедии приложение WhatsApp принадлежит американской компании Facebook, а значит все таким образом переданные данные уже находятся в США!  Что же касается банков, то это однозначно является нарушением закона «О персональных данных», и даже тянет на трансграничную передачу данных. Уверен, что в согласиях на обработку персональных данных о таких американских компаниях вряд ли говорится.
Я намеренно не указываю, о каком банке в данном случае идёт речь, т.к. предполагаю, что эта проблема может носить массовый характер. Просто перечислю некоторые банки, которые предлагают подобные дистанционные сервисы:
·         Тинькофф банк (карты, вклады, инвестиции)
·         ОТП Банк (продукт Touchbank, карта)
·         Русский Ипотечный банк (карты, вклады)
·         МДМ Банк (продукт Ubank, карта)
·         Банк Открытие (продукт Рокетбанк, Смарткарта)
·         БКС Банк (мультивалютные карты, конвертация валюты)

Впрочем, мне несколько раз удавалось отказаться от фотографирования себя лично, но вот фотографии паспорта, конечно же, всегда передавались, наверное, подобным образом в банк.

вторник, 6 декабря 2016 г.

Чем полезен DDOS


В последнее время то и дело пишут о различных DDOS-атаках на сайты крупных федеральных банков. Казалось бы, очевидна мысль, что это плохо, незаконно и только всем вредит. Однако я хочу на данное обстоятельство взглянуть совершенно с другой стороны. Если что-то происходит, значит это кому-нибудь нужно. Смотрите, в наше время заказать DDOS-атаку не так уж и сложно – были бы деньги. Для этого нужно найти на специализированных хакерских форумах подобные предложения. Меня больше интересует, кому это может быть нужно из нашей «песочницы». И ответ приходит на ум тут же. Интеграторам, кому же еще. Объясняю свою мысль с красной строки.
Есть жизненная русская пословица «Пока гром не грянет, мужик не перекрестится». Я уже около десяти лет работаю в различных финансовых учреждениях. Как вы думаете, где-нибудь серьезно относились к защите интернет банков? Да, относились, но преимущественно в части устранения критичных уязвимостей по результатам сканов, что нужно для получения соответствия стандарту PCIDSS. Но это было никак не для обеспечения защиты от распределенных атак. А вот к мобильным приложениям точно нет. Знаю банк, входящий в ТОП-50, в котором мобильное приложение скорее отсутствует, чем его работоспособность можно назвать работой. А надежность интернет-банка тоже оставляет желать лучшего. Есть и другие банки.
Сегодня РБК пишет о том, что тема ДБО подвергнется регулированию. Что будут разработаны требования, стандарты, будет проводиться сертификация. Это всё замечательно. Наверняка все это будет делаться за счет банков, а точнее за счет клиентов этих самых банков. А кто будет писать эти самые стандарты? Рабочие группы они же комитеты из заинтересованных лиц либо на добровольной основе. Но скорее всего это доверят как обычно какому-нибудь интегратору. Кто будет проводить работы по анализу программного кода, по внешнему аудиту под сертификацию? Опять интеграторы. А может еще и сами решения, предлагаемые вендорами на рынке должны подвергнуться сертификации? Кто будет их сертифицировать? Опять эти же самые интеграторы.
Наконец, я хочу выразить свою мысль хорошо ли это или плохо? На мой взгляд, хорошо. Обратимся опять к этой же народной пословице «Пока гром не грянет, мужик не перекрестится». Стало быть, мы - клиенты банков, а по сути, общество - станем пользоваться защищенными ДБО, а значит, безопасность наших финансов только возрастет. Можно сказать несколько громче – значит, это будет угодно обществу. Значит, любое вмешательство извне позволяет залатать бреши в безопасности, а значит это полезно. Мы же знаем, что атака вирусов и прочих биологических существ выявляет слабые нежизнеспособные особи и не дает им жить и размножаться. Так же и в нашей информационной безопасности.

Вся заметка «imho». Если у кого есть иные точки зрения на эту проблему, я приглашаю к дискуссии.

четверг, 10 марта 2016 г.

Про Кредит Европа Банк

Наконец-то у меня дошли руки посмотреть интернет-банк турецкого Кредит Европа Банка. Это особенно вовремя в виду наличия слухов о возможной его продаже на фоне обострения Российско-турецких отношений.
Пост будет кратким. Я сразу обратил внимание на то, что для получения доступа в ИБ нужно самостоятельно зарегистрироваться. Для регистрации, в том числе, нужно вбить пин-код от полученной карты! (ну что делаем фейковый вебсайт и собираем номера и пины?) Такого я раньше не встречал. Как не встречал и то, что цифры на виртуальной клавиатуре отображаются рандомно. Более того они даже меняются после нажатия каждой цифры.

При входе в ИБ пароль также предлагается вводить на виртуальной клавиатуре, также с меняющими цифрами.

После самостоятельной регистрации получаем ограниченный доступ в ИБ. У Вас доступ только к меню просмотра. Для проведения Финансовых операций необходимо подписать Заявление на присоединение к Договору Дистанционного банковского обслуживания в Отделении Банка. Кто бы это знал когда получал карту. Банку минус.
А вот в самом ИБ я с удивлением обнаружил выполненное требования из 382-П об идентификации клиента банка перед предоставлением ему доступа к ДБО путём фильтрации по IP-адресам. В других банках я пока подобных реализаций не встречал. Молодцы, ставлю плюсик.

Привожу определение из 382-П:
Идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления переводов денежных средств, которой в зависимости от технической возможности является IP-адрес, MAC-адрес, номер SIM-карты, номер телефона и (или) иной идентификатор устройства.
Спускаемся ниже в геоблокировки. Они уже есть во многих банках, однако здесь турки пошли дальше и включили… Антарктиду. Я конечно понимаю, что вдруг императорские пингвины зайдут там с планшета, впрочем они заодно и узнают, что у банка нет приложений для мобильных устройств. Однако получилось прикольно. Ставлю банку еще один плюсик.


Однако с точки зрения удобства всё сделано очень плохо. У меня ушла куча времени на то, чтобы въехать как правильно менять пароль, так как мне заблокировали доступ после 3-х неверных попыток ввода пароля. Я уверен обычный пользователь будет долго выполнять этот квест. А там еще есть приписка, что менять пароль надлежит раз в 45 дней. Поэтому все плюсы перечеркиваю одним большим минусом.

среда, 20 января 2016 г.

МИР – самая безопасная карта!


Сегодня получил карту платежной системы «МИР». Буду пару дней её смотреть, потом сделаю обзор и положу на полку. И вот почему. На РБК уже выложен обзор этой карты. Там девушка-корреспондент её получила, пыталась сделать покупку в ряде мест – отказ, пыталась сделать интернет покупку – отказ, пыталась снять деньги в других банкоматах – отказ.
В связи со всем вышеперечисленным можно сделать быстрый вывод о том, что на сегодняшний день это самая безопасная банковская карта – ни снять, ни украсть деньги.

На самом деле ждём развитие национальной платежной системы, чтобы наконец-то серьезно потеснить американскую и европейскую!