Рутокен PINPad

Продукт
Название базовой системы (платформы): Rutoken
Разработчики: Актив (Актив-софт)
Дата премьеры системы: ноябрь 2011 года
Отрасли: Финансовые услуги, инвестиции и аудит
Технологии: ИБ - Средства шифрования

Содержание

Всевозможные решения на базе токенов нашли применение, в частности, в целях обеспечения безопасности удаленных банковских транзакций. "Рутокен PINPad" выделяется среди них достаточно редким сочетанием пользовательского юзабилити с высоким уровнем защиты против традиционных и современных видов угроз. Одним из наиболее эффективных его применений разработчик "Рутокен PINPad", – компания "Актив", – видит в сегменте СМБ.

Специалисты по информационной безопасности (ИБ) полагают, что способ аутентификации пользователя при помощи набора PIN-кода уже не может в наши дни считаться достаточно надежным, поскольку нажатия на клавиатуру (реальную или виртуальную) можно зафиксировать достаточно простым способом – при помощи кейлоггера. Еще проще получить несанкционированный доступ к файлу с ключом, хранящемся в незашифрованном виде на жестком диске или же на недостаточно защищенном съемном носителе. Аппаратный токен также не сможет защитить пользователя в том случае, если злоумышленнику уже удалось тем или иным способом получить удаленный доступ к компьютеру с установленным на нем "банк-клиентом". Пользователю достаточно оставить компьютер с забытым USB-токеном на непродолжительное время, предоставив тем самым возможность подписать с его помощью платежное поручение и отправить через систему "банк-клиент" на исполнение. Еще одна современная схема хищений средств с расчетного счета компании построена на том, что пользователь лишен реальной возможности непосредственно контролировать, какой документ он на самом деле заверяет в данный момент при помощи системы банк-клиент. Это дает возможность незаметно осуществить подмену одного платежного поручения другим.

Безусловно, случаи, описанные выше, являются скорее исключением, чем правилом. Тем не менее они происходят ежедневно: счет по одной только Москве давно идет на десятки, причем статистика по разным видам хищений безналичных денежных средств ползет вверх. Пострадать может не только крупная компания с большими средствами на расчетном счете, привлекающими мошенников. Жертвой злоумышленников вполне может стать и относительно небольшой бизнес: за ИБ здесь по ряду причин могут следить менее тщательно, чем на крупном предприятии, а последствия неожиданного обнуления счета в банке для СМБ могут быть более чем ощутимыми. Заранее понятно, например, к чему потенциально могут привести действия бухгалтера небольшой дистрибуторской компании, чередующего отправку платежных заверенных поручений с посещением различных сайтов с одного и того же, недостаточно защищенного компьютера.Рано или поздно может случиться так, что однократное хищение накопившейся за месяц выручки за товар придется потом покрывать суммой прибыли, полученной за год.

Предсказать действия добросовестного предпринимателя, внезапно превратившегося из процветающего, уверенного в завтрашнем дне бизнесмена в человека, на котором висит огромная сумма долга, несложно: скорее всего, он обратится за помощью и в обслуживающий банк, и в полицию. Чем это закончится на практике? Раскрываемость по данному виду преступлений низкая. Действия же банка можно заранее спрогнозировать, внимательно прочитав условия своего договора на ДБО. Выдавая защищенный токен и диск с дистрибутивом для пользования ДБО, банк достаточно справедливо полагает, что снабжает своего клиента одним из наиболее современных на сегодня средств защиты, остальную же часть работы по обеспечению нужного уровня безопасности для удаленных банковских транзакций клиент банка должен проделать уже самостоятельно. Скорее всего, соображения примерно такого плана, сформулированные юридическим языком, и будут предусмотрительно зафиксированы в договоре на удаленное обслуживание. Всерьез же обвинять коммерческий банк в том, что он не берет на себя всю полноту ответственности за произошедшее на компьютере клиента, пожалуй, не стоит: в конце концов, он тоже должен как-то защищать свои интересы.

С технической точки зрения он представляет собой подключаемое к компьютеру небольшое устройство с сенсорным экраном, позволяющим ввести PIN-код, а также визуально просмотреть содержимое документа, перед тем как заверить его электронной подписью при помощи "Рутокен ЭЦП", вставляемого в USB-порт на корпусе самого PINPad-а. Подпись формируется аппаратно при помощи неизвлекаемого ключа "Рутокен ЭЦП", а PINPad гарантирует, что банковский документ был просмотрен бухгалтероми отправлен в банк именно путем нажатия виртуальной кнопки на экране.

Применение "Рутокен PINPad", в частности, позволит эффективно бороться со всеми современными видами угроз, подстерегающими клиентов банка, пользующихся ДБО. Суть в том, что платежное поручение не может уйти в банк без окончательного одобрения самого пользователя, который всякий раз просматривает "платежку" при помощи PINPad-а, и только после этого отсылает (или отклоняет) платеж нажатием соответствующих кнопок на сенсорном экране. При этом, какие бы привилегии ни присвоил себе "забравшийся" в компьютерную систему злоумышленник, он будет лишен возможности не только самостоятельно инициировать платеж, но и совершить подмену платежного поручения.

Пожалуй, такое решение будет интересно практически всем. Для крупных клиентов ,помимо прочего, предусмотрена дополнительная возможность контролировать и производить массовые платежи своим многочисленным доверенным контрагентам; для банков – появляется новый способ предоставить своим клиентам более надежный банковский сервис (вместо того, чтобы разбираться с претензиями); для ведущих разработчиков систем банк-клиент, совместно с которыми компания "Актив" и будет продвигать "Рутокен PINPad" на рынок, интеграция с этим аппаратным решением даст убедительное конкурентное преимущество, позволит привлечь новых покупателей.

Рутокен PINPad - единственное сертифицированное ФСБ России решение класса TrustScreen, позволяющее визуализировать подписываемый документ в доверенной среде непосредственно перед созданием электронной подписи. Устройство защищает от поддельных сайтов (фишинга), атак при помощи средств удаленного управления, подмены содержимого документа при передаче на подпись (атака Man-in- the-middle).

Реализация

Рутокен PINPad — это решение, способное защитить пользователей систем дистанционного банковского обслуживания от проблем, связанных с применением злоумышленниками удаленного управления компьютером и подменой платежной информации вредоносным программным обеспечением.

При осуществлении транзакций клиент банка получает возможность гарантированного визуального контроля платежной информации, отправляемой на сервер системы ДБО. Ввод PIN-кода и подтверждение выполнения платежа производится на сенсорном дисплее устройства.

Рутокен PINPad позволяет осуществлять строгую аутентификацию пользователей для доступа к системе дистанционного банковского обслуживания на базе электронной подписи, а также обеспечивает визуальный контроль.

Для аутентификации может использоваться протокол ISO Public-Key Two-Pass Unilateral Authentication Protocol. Протокол построен на асимметричной криптографии, использует всего две транзакции (пересылки данных) и предназначен для односторонней аутентификации. В процессе аутентификации у пользователя запрашивается PIN-код для доступа к Рутокен ЭЦП, который необходимо набрать на сенсорном дисплее Рутокен PINPad.

Защита от подмены платежной информации осуществляется путем визуального контроля платежного документа на экране устройства и подтверждения корректности информации путем нажатия кнопки «Подписать».

Безопасность этого решения основана на том, что клиент-банк отправляет на подпись не хеш платежного поручения, а сам документ в специальном формате. Рутокен PINPad отображает полученную информацию, запрашивает подтверждение у пользователя, и только получив согласие пользователя, отправляет документ в Рутокен ЭЦП для вычисления хеш-функции и подписи документа. Такой подход гарантирует невозможность использования Рутокен ЭЦП для осуществления несанкционированного платежа.

Функциональные возможности

  • Доверенный ввод PIN-кода для доступа к криптографическим возможностям USB-токена.
  • Просмотр содержания подписываемых документов в доверенной среде. Индивидуальное форматирование и возможность пролистывания больших документов.
  • Кеширование PIN-кода внутри Рутокен PINPad для удобства пользователей. Код вводится один раз при аутентификации, далее при подписи серии платежных документов не нужно вводить его повторно.
  • Пользователь просматривает каждый из документов и нажимает кнопку «Подписать».

Файл:Pinpad_movie.gif

2013:Group-IB провела анализ защищенности устройства Рутокен PINPad

В январе 2013 года компания Group-IB объявила о завершении исследования защищенности устройства Рутокен PINPad, выпускаемого компанией «Актив» для систем защиты дистанционного банковского обслуживания. Рутокен PINPad относится к классу устройств Trust Screen, которые позволяют повысить защищенность клиента ДБО при работе в недоверенной среде, в частности защищают от угроз модификации платежных поручений.

В рамках мероприятий по анализу защищенности, проводимых специалистами департамента аудита и консалтинга Group-IB, исследовалась возможность компрометации устройства с учетом следующих векторов атак:

  • применение вредоносного кода с целью хищения ключей электронной подписи из локального окружения;
  • применение вредоносного кода с целью хищения ключей электронной подписи из оперативной памяти;
  • реализация атак с использованием удаленного подключения к USB-порту (USB-over-IP);
  • атака при помощи средств удаленного управления компьютером клиента;
  • подмена содержимого электронного документа при передаче его на подпись;
  • атаки на уязвимости WEB-приложений при осуществлении сетевой коммуникации по прикладным протоколам передачи данных.

Результаты тестирования показали высокий уровень защищенности Рутокен PINPad и подтвердили соответствие всем необходимым техническим условиям, предъявляемым к устройствам класса Trust Screen. Устройства данного класса оснащены экраном для отображения информации с целью верификации отправляемых платежных поручений на стороне пользователя.

«Применение подобных устройств может существенно повысить защищенность клиентов банка при осуществлении транзакций. Trusted Screen успешно используются за рубежом в отношении как физических, так и юридических лиц, позволяя на практике предотвращать мошенничества с использованием удаленного управления компьютером», — прокомментировал результаты тестирования Андрей Комаров, директор департамента аудита и консалтинга Group-IB.

Рутокен PINPad осуществляет полный цикл обработки документа, отправляемого на подпись. В устройстве аппаратно реализованы механизмы отображения, хеширования и подписи платежных поручений. Платежные документы отображаются на сенсорном экране устройства Рутокен PINPad, и в случае подтверждения пользователем корректности информации осуществляется подпись данных непосредственно в устройстве. Все криптографические операции выполняются в соответствии с российскими стандартами.



СМ. ТАКЖЕ (4)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Softline (Софтлайн) (51)
  Инфосистемы Джет (45)
  ДиалогНаука (33)
  Информзащита (30)
  Leta IT-company (26)
  Другие (726)

  Практика Успеха (6)
  Национальный аттестационный центр (НАЦ) (4)
  R-Vision (Р-Вижн) (4)
  Card Security (Кард Сек) (4)
  Инфосистемы Джет (3)
  Другие (64)

  Softscore UG (2)
  TUV Austria (2)
  Информзащита (2)
  Deiteriy (Дейтерий) (2)
  Концерн Автоматика (2)
  Другие (40)

  Сканпорт АйДи (Scanport) (6)
  Практика Успеха (5)
  Инфосистемы Джет (4)
  Уральский центр систем безопасности (УЦСБ) (3)
  Compliance Control (Комплаенс контрол) (3)
  Другие (40)

  Уральский центр систем безопасности (УЦСБ) (4)
  Инфосистемы Джет (4)
  Сканпорт АйДи (Scanport) (2)
  ИнфоТеКС (Infotecs) (2)
  МСС Международная служба сертификации (2)
  Другие (28)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ИнфоТеКС (Infotecs) (31, 34)
  Код Безопасности (15, 34)
  Аладдин Р.Д. (Aladdin R.D.) (24, 30)
  Лаборатория Касперского (Kaspersky) (2, 23)
  Системы распределенного реестра (3, 19)
  Другие (437, 249)

  Практика Успеха (1, 6)
  R-Vision (Р-Вижн) (1, 4)
  ИнфоТеКС (Infotecs) (3, 3)
  Web3 Tech (Веб3 Технологии) ранее Waves Enterprise (1, 3)
  Концерн Автоматика (1, 2)
  Другие (12, 19)

  ИнфоТеКС (Infotecs) (2, 2)
  Концерн Автоматика (2, 2)
  Системы распределенного реестра (2, 2)
  Softscore UG (1, 2)
  Практика Успеха (1, 1)
  Другие (8, 8)

  Shenzhen Chainway Information Technology (1, 6)
  Практика Успеха (2, 5)
  Министерство цифрового развития, связи и массовых коммуникаций РФ (Минцифры) (1, 5)
  Digital Design (Диджитал Дизайн) (1, 2)
  Системы распределенного реестра (1, 2)
  Другие (6, 6)

  ИнфоТеКС (Infotecs) (2, 2)
  Shenzhen Chainway Information Technology (1, 2)
  ТрансТелеКом (ТТК) (1, 1)
  Digital Design (Диджитал Дизайн) (1, 1)
  Актив (Актив-софт) (1, 1)
  Другие (5, 5)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ViPNet CSP - 26 (8, 18)
  Мастерчейн (Masterchain) Российская национальная блокчейн-сеть - 19 (14, 5)
  Kaspersky Total Security - 18 (18, 0)
  Secret Net - 15 (15, 0)
  SmartDeal - 14 (14, 0)
  Другие 253

  SmartDeal - 6 (6, 0)
  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4 (4, 0)
  WE.Vote - 3 (3, 0)
  CandyTag - 2 (2, 0)
  КуРэйт Система квантового распределения ключей - 2 (2, 0)
  Другие 14

  Softscore UG: Anwork Бизнес-коммуникатор - 2 (2, 0)
  Мастерчейн (Masterchain) Российская национальная блокчейн-сеть - 2 (1, 1)
  ИСКО Ареопад Информационная система коллегиальных органов - 1 (1, 0)
  Астрал.Платформа - 1 (1, 0)
  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 1 (1, 0)
  Другие 6

  Shenzhen Chainway C-серия RFID-считывателей - 6 (6, 0)
  Госключ - 5 (5, 0)
  SmartDeal - 4 (4, 0)
  ИСКО Ареопад Информационная система коллегиальных органов - 2 (2, 0)
  Мастерчейн (Masterchain) Российская национальная блокчейн-сеть - 2 (2, 0)
  Другие 5

  Shenzhen Chainway C-серия RFID-считывателей - 2 (2, 0)
  С-Терра Шлюз (CSP VPN Gate 100B) - 1 (1, 0)
  ИСКО Ареопад Информационная система коллегиальных органов - 1 (1, 0)
  ViPNet QKDSim - 1 (1, 0)
  ТТК: VPN-ГОСТ - 1 (1, 0)
  Другие 5