суббота, 19 ноября 2011 г.

Производители устройств, создающих доверенную платежную среду

Меня давно интересует тема создания доверенной среды для ДБО. Не так давно все производители выпустили на рынок так называемые, защищенные токены, то есть токены, с которых невозможно извлечь ключ ЭЦП. Это действительно так, однако риски никуда не уходят, они только трансформируются в другие. Существующее зловредное ПО уже умеет удаленно управлять компьютером, подменять реквизиты платежей, а также подписывать платеж, используя защищенный токен. Таким образом, использование защищенного токена лишь позволит оттянуть время.
В этом  году появились сразу несколько устройств с похожим функционалом. Все они предназначены для подтверждения какого-либо действия пользователя при его взаимодействии, в общем случае в значимых для него областях деятельности (финансы, доступ, переписка, гос. услуги и многое другое).
Пока мною замечены 4 реализации:
Agses. Австрийская разработка, на территории России есть ресселер – питерская компания. Название продукта качественно обыгрывает слово Access (доступ). Уже есть несколько качественных промо-сайтов, на которых присутствует много хорошо переведенных как маркетинговых, так и технических материалов и презентаций. Технологически очень интересная задумка с биометрией. Заявленная цена кусается на отметке 6000 р.

Cronto. Английская разработка, в контактах значится Кембридж. Присутствуют как программная, так и программно-аппаратная реализация. Программная реализация, по сути, является приложением (Java?) для любого современного мобильного телефона. Цена программной реализации не заявлена, но, видимо, она должна стремиться к нулю, т.к. очевидно позиционирование устройства для физиков.  Здесь я уже размещал свои мысли по созданию аналогичной среды.

PINPad. Российская разработка. Известный производитель, в багаже которого помимо опыта присутствуют тысячи проданных устройств. Может использоваться как в конфигурации с внешним, так и с внутренним защищенным токеном. Хорошего качества сенсорный экран, поддерживается скролинг. Заявленная цена 3000 р.

SafeTouch. Российская разработка. Удачное с точки зрения эргономики устройство, поддерживающее смарт-карты. Есть мнения, что тренд смещается в сторону карт, но есть и противоположное мнение. Заявленная цена 1600 р. Однако, имеются большие вопросы в части доверия к производителю: новая компания, пока не имеющая реализованных проектов, де-факто иностранное производство.

Для российских ИБ-компаний 2011 год проходит под знаком изобретений, сейчас они в основном занимаются зондированием банковской почвы и рекламированием своих устройств. Надеюсь, что 2012 год будет направлен на поддержку их решений со стороны производителей Клиент-Банков. Как только это случится, можно будет рассуждать о позиционировании устройств этого класса для конкретных групп в различных сегментах рынка.
На сегодня даже два последних устройства не могут в полной мере являться российскими, учитывая следующее определение российского продукта. Российским называется продукт, разработанный и произведенный в России из российских комплектующих на российском оборудовании силами российских специалистов.

воскресенье, 13 ноября 2011 г.

Инновационный выбор оператора связи

Обратил внимание на рекламу в метро телефона с тремя SIM-картами, долго размышлял, какая от него может быть польза и вот что у меня получилось.
Выбор оператора должен осуществляться автоматически по определенным критериям. Для этого предлагается написать специальную программу, которая будет определять наиболее выгодного оператора для осуществления исходящего звонка. Программу удобно разработать на Java. В качестве входных данных для программы должны быть формализованы все используемые тарифные планы со всеми подключенными к ним опциями, например в формате XML. В качестве общих параметров для выбора должны использоваться:
·         Текущее местоположение абонента (роуминг или нет).
·         База данных принадлежности и регистрации номеров по кодам.
·         Количество средств на всех счетах.
·         Время вызова.

Теперь после выбора абонента из записной книги телефона, программа произведет определение наиболее выгодного тарифного плана и предложит осуществить звонок с нужной SIM-карты. Можно либо согласиться, либо выбрать другую SIM-карту.

пятница, 11 ноября 2011 г.

Безопасность Web-SMS

Обратил внимание на то, что зная номер мобильного телефона человека, особенно чиновника или высокого чиновника, можно легко ему отправить SMS запрещенного, например, националистического или террористического характера. В терминах ИБ это будет обязательно рисковое событие с вероятностью реализации отличной от нуля.


МТС эту проблему удачно решила введением одноразового пароля, который приходит на телефон отправителя, так как для отправки SMS нужно обязательно ввести телефон отправителя. Таким образом, должно гарантироваться, что в случае необходимости номер телефона отправителя будет предоставлен правоохранительным органам для проведения расследования.


У других операторов аналогичного безопасного сервиса на текущий момент не обнаружено.