Чому традиційна захист від крадіжки грошових коштів у системах ДБО вразлива

Банківські електронні сервіси безпосередньо чи опосередковано оперують грошима. А там, де є гроші, завжди знайдуться ті, хто захоче їх вкрасти. Особливий інтерес у кіберзлочинців викликають системи дистанційного банківського обслуговування для юридичних осіб, так як на рахунках останніх акумулюються значні суми грошових коштів.
Для захисту від крадіжки грошових коштів у таких системах, як правило, потрібно вирішити наступні основні завдання: перевірити справжність користувача, а також автентичність та цілісність електронного документа, що виражає намір користувача. На практиці, таким документом є платіжне доручення, в числі реквізитів якого задаються сума грошових коштів і рахунок одержувача.

Читати далі →

Як і де потрібно застосовувати ЗКЗІ — точка зору ФСБ

8-й Центр ФСБ виклав досить несподіваний документ. Документ описує рекомендації в області розробки нормативно-правових актів у сфері захисту ПДн. Але цим же документом рекомендується користуватися операторам ИСПДн при розробці приватних моделей загроз.

Що ж думає ФСБ про те, як й де потрібно застосовувати ЗКЗІ?

Читати далі →

Криптографічні рішення. Від криптопровайдерів до браузерних плагінів

Виробники ЗКЗІ пропонують різні механізми для інтеграції криптосредств в інформаційні системи. Існують рішення, орієнтовані на підтримку систем з Web-інтерфейсом, мобільних і десктопних додатків, серверних компонентів. ЗКЗІ інтегруються в додатки Microsoft і Open Source продукти, забезпечують підтримку різних прикладних протоколів і форматів електронного підпису.

З урахуванням зростаючого кількості проектів із застосуванням ЕЦП і появи масових проектів для фізичних осіб, розробникам таких проектів потрібно добре орієнтуватися в пропонованих виробниками рішеннях за ЕЦП для того, щоб зробити систему зручною в експлуатації і недорогий в плані техпідтримки. Таким чином, якщо ще 5 років тому головним чинником вибору криптосредства було його повну відповідність вимогам регуляторів, то при сьогоднішньому розмаїтті важливими критеріями можуть виступати охоплення підтримуваних платформ, можливість інтеграції з браузером, підтримка мобільних користувачів, можливість установки без прав системного адміністратора тощо

В даному матеріалі зроблена спроба класифікувати засоби криптографічного захисту інформації (СКЗІ).
  • Розглянуті в основному ЗКЗІ, що використовуються для захисту клієнт-серверні з'єднання TLS, для організації ЕЦП, шифрування переданих даних;
  • Не розглядаються ЗКЗІ, застосовувані для створення VPN і шифрування файлової системи, збережених даних, а так само УЦ;
  • Окремо виділені апаратні криптографічні пристрою.
Класифікація побудована на основі:
  • технологій інтеграції (Crypto API, Active-X, NPAPI та ін), які підтримують ЗКЗІ для вбудовування в додатки і прикладні системи;
  • інтерфейсів, які надають ЗКЗІ для вбудовування в додатки і прикладні системи.
Крім того, показані способи інтеграції ЗКЗІ з Web-додатками і можливість його використання на мобільних платформах

Загальна схема класифікації наведена в таблиці:
Криптопровайдери Нативні бібліотеки openssl-style, PKCS#11, NSS, власні інтерфейси) Локальні проксі Браузерні плагіни Хмарна підпис Браузери з російської криптографією
Поштові клієнти з російської криптографією Російська криптографія в фреймворках, платформах, інтерпретаторів Настільні криптографічні програми Криптографія в UEFI BIOS Сервіс-провайдери ЕЦП Емулятори довіреної середовища
Апаратні засоби
У першій статті розглянемо рішення, починаючи з криптопровайдерів за браузерні плагіни включно. У наступних статтях будуть розглянуті інші засоби.


Читати далі →