Механизмы аутентификации и электронной подписи для защиты банковских транзакций и электронной торговли

При создании любого электронного сервиса на массовом рынке провайдер услуг резонно ставит во главе задачу обеспечения удобства работы пользователей. Действительно, при наличии широкого перечня поставщиков со сходным набором операций потребители часто выбирают провайдеров просто по внешнему виду их порталов или по рекомендации, в которой на первых местах также будет отмечено "юзабилити". О безопасности задумываются в самую последнюю очередь, да и то после громких инцидентов, получивших широкую огласку.

Из всего многообразия электронных сервисов, представленных сегодня на публичном рынке, особо хотелось бы отметить сервисы для выполнения финансовых операций (системы дистанционного банковского обслуживания – ДБО, электронной торговли и т. д.). Именно они всегда находятся в фокусе злоумышленников из-за близости к "живым" деньгам. Стоит отметить, что безопасность внутренней инфраструктуры провайдеров (кредитно-финансовых учреждений, торговых площадок) поддерживается на должном высоком уровне, и реализация атак на сами системы малоперспективна, а потому нецелесообразна. Гораздо перспективнее организовать атаку на пользователей системы, и уже от имени легального пользователя либо его же руками осуществить запланированные финансовые операции. И такие атаки вполне успешны, так как пользователи зачастую не только не выполняют рекомендации банка по организации рабочих мест для дистанционного обслуживания, но и пренебрегают элементарными правилами информационной безопасности. Можно ли минимизировать неподконтрольные провайдеру услуг действия пользователей при взаимодействии с порталом? Другими словами, как найти золотую середину между удобством, простотой использования сервиса и требованиями ИБ? Предлагаю ознакомиться с обзором использующихся сейчас на российском рынке решений по обеспечению безопасной работы конечных пользователей в торговых системах и системах ДБО. В фокусе анализа будут механизмы аутентификации, электронной подписи, подтверждения операций.

Конечно, лучшим вариантом с точки зрения безопасности является предоставление пользователю компьютера с предустановленными и преднастроенными средствами защиты информации, однако затраты на организацию подобного решения весьма существенны. Также требуется дополнительная логистика. Тем не менее, некоторые кредитно-финансовые учреждения пользуются этой практикой.

Далее будут рассматриваться реализации систем, основанные на web- технологиях, так как системы с "тяжёлыми" клиентами не отвечают требованиям мобильности и доступности с неограниченного круга устройств.

Из наиболее распространённых реализаций стоит выделить программную реализацию криптографических операций. При этом сама криптографическая подсистема может быть оформлена полноценным криптопровайдером (CSP), локальным прокси или просто библиотекой как проприетарной, так и стандартизированной. В случае с криптопровайдером активный контент web-страницы вызывает стандартные механизмы операционной системы в части работы с криптографическими функциями. Такой подход видится универсальным, но он ограничен платформой. CSP является технологией Microsoft, этим обусловлено её использование только в операционных системах семейства Windows и работа через браузер Internet Explorer. Последнее специфическое ограничение было снято разработкой браузерных плагинов, позволяющее существенно расширить линейку браузеров, в которых можно работать в торговом сервисе или системе ДБО. Обеспечение криптографической защиты при отсутствии поддержки российских алгоритмов в операционной системе можно обеспечить и локальным прокси. Этот способ был очень популярен некоторое время тому назад. Заключается он в том, что сформированный пользовательский контент не отправляется сразу в систему, а проходит через локальный прокси, где необходимые формы подписываются и весь трафик шифруется. В случае с библиотеками механизмы работы схожи с криптопровайдерами, единственное отличие – требуется прямой вызов функций без использования высокоуровневых криптографических механизмов операционной системы. Все три указанных способа требуют первоначальной установки и настройки на рабочем месте пользователя, что несомненно влияет на общую доступность систем и требует определённой квалификации потребителя.

Вне зависимости от использующейся реализации остро стоит вопрос хранения ключевой информации, а точнее – закрытого ключа, с помощью которого формируется электронная подпись. Существует несколько вариантов, отличающихся критерием безопасности. Первый вариант – это криптоконтейнеры. Располагаться они могут как в незащищённых местах (на USB-носителях, в реестре операционной системы или же просто в файловой системе), откуда могут быть успешно скопированы злоумышленниками с использованием несложных механизмов, что приведёт к компрометации ключевой информации, так и на защищённых носителях (USB-токенах и смарт-картах). В любом случае при работе с криптоконтейнерами закрытый ключ попадаёт в оперативную память и может быть скомпрометирован при реализации сложной адресной атаки.

Во избежание этой уязвимости системы ДБО в отличие от торговых систем перешли на носители с неизвлекаемыми ключами. Форм-фактор может быть разнообразным, например, смарт-карта, USB-токен, microSD-карта. При этом все криптографические операции с закрытым ключом выполняются внутри устройства, а в оперативную память рабочего места попадает исключительно результат. Доступ к функционалу возможен только после введения верного PIN-кода по аналогии с банковской картой, в противном случае устройство блокируется. Более того, такие девайсы удобнее для потребителя, поскольку работу с ними на web-портале можно организовать посредством мультибраузерного кросплатформенного плагина, что предоставляет доступ с большого числа платформ и с помощью всех популярных браузеров.

Злоумышленники, потеряв возможность хищения ключевой информации, стали использовать атаки с подменой подписываемых документов: на экране пользователя отображается один документ, а направляется для подписания другой. При этом устройство с неизвлекаемыми ключами и криптографией "на борту" честно его подписывает после ввода PIN-кода пользователем. Для защиты от такого рода атак были изобретены устройства класса "Антифрод-терминал", подключающиеся в разрыве между рабочим местом пользователя и устройством с криптографией "на борту". Они позволяют отображать документ (или ключевые параметры документа), направляемый для подписи, на встроенном экране. Более того, наиболее совершенные модели содержат внутри чип безопасности, который реализует защищённое соединение с системой и подписывает все действия пользователя. Данная информация может пригодиться при разборе конфликтных ситуаций для защиты администратора системы от мошеннических действий пользователей.

Завершить обзор хочется новой интересной технологией, которую экспертное сообщество назвало "ЭП на SIM-карте". По сути, она объединяет плюсы антифрод-терминала и устройств с криптографией "на борту" и меняет классическую схему подписания документа. Пользователь формирует контент на любом устройстве и отправляет его сервис-оператору. Сервис-оператор направляет контент в SIM-карту пользователя посредством специального канала оператора сотовой связи. Необходимая информация отображается на экране, и в случае её корректности пользователь подписывает этот контент, введя специальный PIN-код. При этом подписание производится внутри SIM-карты, и ни одно приложение с телефона не имеет доступа к этому процессу. Технология работает не только на смартфонах, но и на абсолютно всех мобильных телефонах. Применять ЭП на SIM-карте также целесообразно для аутентификации на различных ресурсах. Эта технология очень перспективная и фактически предоставляет второй доверенный канал между пользователем и системой, причём без уязвимостей, присущих практике использования телефона для подтверждения операций при помощи одноразовых паролей.

В заключение хочу отметить, что несмотря на множество имеющихся на рынке решений по аутентификации и ЭП в системах ДБО и торговых системах, универсальной "таблетки" не существует. В каждом конкретном случае их применения необходимо предварительно оценивать риски, а затем уж принимать решение о реализации тех или иных компенсирующих мер.