понедельник, 26 августа 2013 г.

Несколько замечаний о банковских картах

В развитие прошлого поста хочу высказать общее замечание по безопасности при пользовании продуктами Тинькова, состоящее из двух взаимосвязанных частей.
Так как при торгово-сервисных операциях у них не требуется введение PIN-кода, создается реальная угроза вывода таким способом денег в случае утери или кражи карты. Этот риск, казалось бы, можно снизить до приемлемого  уровня, установив соответствующий лимит, но такого лимита у них не оказалось. Предлагаю им в интернет-банке сделать лимит на торгово-сервисные операции в день.
Также хочу вынести на суд общественности пару идей о безопасности банковских карт любого банка.
1) Имеет  смысл запомнить, после чего стереть (соскрести) CVV-код с оборота карты.
2) Имеет смысл всегда держать карту в заблокированном виде и разблокировать её только на время проведения операции, например, при помощи iPad (подозреваю, что такие фокусы никаким банком пока не поддерживаются).
3) Для хранения связки PIN- и CVV-кодов предлагается достаточно неочевидный способ в виде создания контакта в телефонной книге: Иванов Иван Иванович +7(495)1234567, где 123 - это CVV, а 4567 – это PIN-код. 
PSК сожалению, с этого момента предлагаемый способ становится совершенно очевидным. J





вторник, 20 августа 2013 г.

Про Тинькофф


Когда-то я хотел написать про них отрицательный отзыв за то, что они прислали мне на почтовый адрес банковскую карту. Я это оценил как спам и порезал карту. Я даже заготовил письмо, бросил его в рюкзак, но подходя к почте, передумал его отправлять до лучших времен. И вот они наступили. Поэтому сегодня будет нейтральный отзыв.
Начну с сайта. Заходя на их сайт, сразу врубается HTTPS. Среди известных у нас банков такое замечено только на сайте Дойче банка и банка Санкт-Петербург. Сразу видна интернеториентированность.
Чтобы активировать карту нужно по телефону тоном вбить день рождения матери из анкеты с сайта.
Очень понравился 8-страничный трактат о мерах безопасности пластиковых карт, однако, вот несколько моментов:
«Запомните, что по операциям оплаты товаров и услуг в торгово-сервисных предприятиях картой Банка… введение ПИН-кода не требуется». Нет пина, нет проблемы?
«Процесс создания ПИН-кода гарантирует, что данная комбинация цифр может быть известна только человеку, его получившему». А оператор сотовой связи?
«Напоминаем Вам, что в соответствии с Общими условиями выпуска и обслуживания… Ваша ответственность за дальнейшее использование карты прекращается на следующий день (!), после дня осуществления блокировки…». Ладно бы полчаса или час, но следующий день.
«Звонки из Банка Вам могут поступать со следующих номеров» и перечислено 7 телефонов. Идея хорошая, запоминаем все номера?
Теперь странные фразы из Заявления-анкеты:
«Я… доверяю ООО «ТКС»… предоставить Заявление-анкету… в ТКС Банк (ЗАО)…».
«В случае отзыва согласия обработка моих персональных данных должна быть прекращена Банком и/или третьими лицами… в срок не позднее одного года…».
Ну и маленький штрих по их Интернет-банку, который является лучшим по версии журнала Global Finance в 2012 г. и лучшим по версии информационного агентства banki.ru в 2012 г.,  в котором вы ни за что не сможете в пароле использовать спецсимволы, отличные от «.», «@», «_», «-». А если я хочу использовать восклицательный знак или процент?

Остается только добавить, что конкурентов среди «виртуальных» банков в рунете у них нет, так сказать, свободная ниша)

пятница, 16 августа 2013 г.

Игла в яйце, яйцо в утке, утка в зайце, заяц в шоке. Или просто пятница


Регулярно пользуюсь TrueCrypt, а в нём, как известно, можно создавать контейнер в контейнере и так далее. Надежность решения не выдерживает никакой критики, но зато можно реализовать алгоритм из русской сказки.
0.    Открытая область диска
1.    Слабо защищенная область диска
логин - Ivanov
пароль - 123
2.    Более защищенная область диска
логин - Ivanov
пароль - Ivan123
3.    Самая защищенная область диска
логин – Ivanov
пароль – Ivan123!@#

Суть в том, что при углублении используются более стойкие парольные фразы. Если же не создавать контейнеры, а логически использовать определенные области диска, то будет не очевидно наличие более глубоких закрытых дисков. В этом случае усложнять или использовать различные пароли вовсе теряется смысл.
Вот он золотой ключик, попробуйте найти от него замки.

среда, 14 августа 2013 г.

Несегментирование виртуализации


В одном из своих прошлых постов, я довел рассуждение до мысли, что для защиты виртуальной среды нет необходимости использовать сертифицированные СЗИ. И уж тем более банкам. Дальнейшее развитие мысли мне подсказал мой коллега и вот в чем оно заключается.
Привожу конкретное требование из 21 Приказа ФСТЭК:

Содержание
УЗ-4
УЗ-3
УЗ-2
УЗ-1
ЗСВ.10  
Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей        

+
+
+

Получается, что начиная с УЗ-3 уже необходимо морочиться с сегментацией. Однако в требовании ничего не говорится о сегментировании в зависимости от УЗ.
Теперь привожу другое требование о сегментировании систем вообще:

Содержание
УЗ-4
УЗ-3
УЗ-2
УЗ-1
ЗИС.17  
Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов
информационной системы                             


+
+

Здесь уже сегментирование начинается с УЗ-2. Также ничего не говорится о зависимости от УЗ.Смотрю Приказ выше и привожу общее требование по виртуализации:

8.11. Меры по защите среды виртуализации должны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.

Спрашивается, почему не нужно сегментировать железо и нужно сегментировать виртуализацию? Понятно, что в этом случае риски выше (сбои, отказы, кражи), но и непрерывность бизнеса (доступность, восстановление) осуществить гораздо легче. Сопоставив одно, второе и третье можно сделать вывод о том, что сегментирование в понимании ФСТЭК это лишь подсистема доступа. А разграничить и контролировать доступ к ПДн, находящихся в виртуальной инфраструктуре, можно любыми способами:
  • политики доступа
  • правила на МСЭ
  • логирование доступа

Другие точки зрения на то, чтобы не использовать vGate и другие СЗИ приветствуются.

среда, 7 августа 2013 г.

МФО от МТС? (много ссылок)


Моя история с МТС опять имеет продолжение. Начало здесь и здесь. Я уже неоднократно обращался к Оператору с просьбой отключить рассылку спама на свой телефонный номер, в том числе относящегося к программе про бонусы. И вот я получил очередной спам про микрокредитование от некой МФО.
Сегодня мне по телефону горячей линии Оператора в очередной раз мне было сказано, что рассылки коммерческого толка не могут быть никаким образом отключены, т.к. они не исходят от них. Я, конечно, понимаю, что на этом зарабатывает оператор, предоставляя свой канал связи для рекламы. Здесь интересен тот факт, что у них есть собственный банк, который и выдает кредиты. Получается ситуация, похожая на ту, когда компания рекламирует чужую деятельность аналогичную собственной и даже не препятствует этому.
Мне стало интересно узнать что-нибудь про МФО. Реестр находится тут. В Реестре на сей день ни много, ни мало, а 3656 (!) микрокомпаний. Их деятельность регулируется 151-ФЗ. МФО могут давать займы только в рублях, не большее 1 млн., правила выдачи кредитов должны висеть в Интернете, при досрочном погашении запрещено штрафовать.
Как это соотносится с безопасностью? Согласно Википедии спам – это рассылка коммерческой и иной рекламы или иных видов сообщений лицам, не выражавшим желания их получать. В России спам запрещён «Законом о рекламе» (ст.18, п.1) «Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено. Рекламораспространитель обязан немедленно прекратить распространение рекламы в адрес лица, обратившегося к нему с таким требованием.», а ответственности вроде как нет никакой. С другой стороны, (анти)спамовые подсистемы находятся на стыке ИБ, ИТ и бизнеса.
- ИБ, т.к. эти технологии должны быть многогранны, изощренны и обязательно скоринговые.
- ИТ, т.к. после выстраивания процесса его можно передать на автопилот, т.е. на сопровождение в ИТ.
- Бизнес, т.к. он является главным движителем развития, и часто обслуживающие подразделения (первые два) должны ему помогать, а не вставлять палки в колеса и всё портить. Поэтому часто в вопросе «Добро и зло» побеждает «бабло».
Всё вышесказанное, как и всё остальное в моём блоге – есть IMHO.