вторник, 31 декабря 2013 г.

СМИ 2013

Год назад я писал пост о том, что наши СМИ заточены исключительно на подачу негативных новостей, заставляющих народ впадать в депрессию. Конечно, есть шутка, приведенная на картинке ниже, но, тем не менее...
Сегодня рано утром взглянул на ТОП-20 «Самых ярких моментов уходящего года» от Rbcdaily, как понял, что всё еще хуже, чем я предполагал год назад. В левой колонке перечислен негатив, в правой позитив, посередине так себе.
Черное
Серое
Белое


Про паспорт Жерара Депардье


Отсчет до начала Олимпиады

Метеорит в озере Чебаркуль

Умер Уго Чавес



Избрание нового папы римского

Взрывы на бостонском марафоне


Путин выгнал Суркова



Эдвард Сноуден про США

Эффектно взорвался Протон-М


Наводнение на Дальнем Востоке



Миссия о разоружении в Сирии

Гринпис и Приразломная


Взрыв автобуса в Волгограде


Задержание Полонского


Боинг разбился в Казани


Закрытие Мастербанка


Умер Нельсон Мандела


Евромайдан на Украине



Освобождение Михаила Ходорковского

Двойной теракт в Волгограде



А, между прочим, это очень тревожный сигнал, относящийся напрямую к безопасности нашего общества. С Новым Годом!

четверг, 26 декабря 2013 г.

Белый список банков

Долго нам всем говорили, что в ЦБ нет никакого черного списка банков, как неожиданно оказалось, что есть… белый список. Список неплохо корелирует с ТОП-50 банков. Таким образом, с благим видом под прикрытием госзакупок обществу мягко подсказывают, где хранить свои деньги. Помимо этого официального списка существует и неофициальный список системообразующих банков. Скорее всего, подобный список будет составлен на основе белого списка и будет утвержден ЦБ.
Понятно, что в перспективе количество банков в России будет уменьшено, и вот самые очевидные пути для этого:
- присоединение их к «старшим» путем покупки
- отъем лицензии за любые грехи
- собственное разорение по самым разным причинам.
Банки разные нужны, банки разные важны. Вот публикую самый простой из общеизвестных в узких кругах алгоритмов, кому недостаточно сбербанковских шести процентов годовых.
Берем один банк А, берем другой банк Б и сто тысяч деревом. Внимание, банк Б. по последним веяниям уже не является доверенным. Банк А используется для вкладов, банк Б используется только для переводов.
1 января 2014
Открыть вклад 1 в банке А на 3 мес. и перечислить на него 70 000 из банка Б
Открыть вклад 2 в А на 12 мес. и перечислить на него 30 000 из Б

1 апреля 2014
Закрыть вклад 1 и вывести деньги в Б
Открыть вклад 3 в А на 3 мес. и перечислить на него 41 763 из Б
Открыть вклад 4 в А на 6 мес. и перечислить на него 30 000 из Б

1 июля 2014
Закрыть вклад 3 в А и вывести все деньги в Б
Добавить на вклад 4 в А сумму 42 815 из Б

1 октября 2014
Закрыть вклад 4 в А и вывести деньги в Б
Добавить на вклад 2 в А сумму 75 620 из Б


1 января 2015
Закрыть вклад 2 в А и вывести 112 064 в Б

Банк Б на всех переводах «съест» только 60 руб. (6*10), т.е. ваша чистая прибыть составит 12 004 руб. или 12.0%. Попробуйте ничего не делая заработать в год лошади больше. С новым годом!!!

вторник, 24 декабря 2013 г.

Согласие для АСВ

 
В продолжение темы про зачистку финансовой системы хочу обратить внимание на вопрос, должен или не должен каждый банк при заключении договоров с клиентами брать согласие на потенциальную передачу ПДн:
- Агентству по страхованию вкладов
- Банку России
- всем остальным банкам, включая тех, которых еще нет в природе.
При наступлении страхового случая, ПДн будут передаваться по данному списку, даже без существования согласия субъекта ПДн. Разумеется, потом при выплате денег согласие может быть легко получено, но что делать, если клиент давать такое согласие не намерен, а его данные уже давно растеклись по банкам-агентам.
Привожу последний пример с сайта АСВ по Инвестбанку: «Сбербанк России осуществляет прием заявлений и выплату страхового возмещения вкладчикам, чьи фамилии начинаются с букв А–К (A–Z), Промсвязьбанк — с букв Л–П, Номос-Банк — с букв Р–Ц, Россельхозбанк — с букв Ч–Я».
А вот форма для поиска банка-агента по этому же банку. Страница, конечно же, без шифрования канала. Куда проще написать предупреждение, что клиент принимает на себя ответственность за слив в интернет своих паспортных данных, чем купить сертификат, например, Thawte.

Даём согласие на обработку ПДн сразу всем банкам?!

пятница, 13 декабря 2013 г.

Все защищают свой web?


Как мы все видим, ситуации вокруг многих банков складываются печально – ЦБ стал активно отзывать лицензии. Открываем книгу памяти и считаем банки с отозванными лицензиями за текущий год – их уже ТРИДЦАТЬ. Хочется верить, что деятельность ЦБ полностью оправдана, а значит останутся только лучшие из лучших.

Тем не менее, я вижу довольно актуальный риск – deface web-сайта. Достаточно изменить index.html на уже стандартный текст про возмещение застрахованных 700 тыс, как снежинка ненависти конкретного Васи Пупкина превратится в снежный ком, сметающий очередной банк.

Я очень сомневаюсь, что защите web-сайтов банки уделяют достаточно внимания:
- физическая безопасность хостинга
- отказоустойчивость оборудования
- права доступа к ОС, к прикладу, к web-серверу
- уязвимости и обновления версий всего
- безопасность программного кода
- лояльность и уровень знаний персонала
- всё прочее

Давайте подумаем и на этот счет!

 

понедельник, 2 декабря 2013 г.

Круги конфиденциальности

Понятием «Круг конфиденциальности» можно оперировать при определении степени необходимой защиты для конкретной информации. Свою идею я постараюсь пояснить на основе защиты личной информации, находящейся в личных HDD личных ПК. Каким образом происходило хранение информации раньше? Вначале на обычных IDE- и компакт-дисках, позже на внешних USB-драйвах и флешках. Теперь настало облачное мировоззрение. Считается, что доверять облаку можно лишь хранение неконфиденциальных данных. Это не совсем так, более того «вываливать» в облака можно и конфиденциальные данные при соблюдении следующих принципов:
- принимаем, что спецслужбы легко могут получить доступ к зашифрованной криптостойкими алгоритмами AES-256 или ГОСТ 28147 информации (вспомните, как контролируется Skype в DLP, вам даже не нужно обращаться в Microsoft).
- определяем, для кого ваша конфиденциальная информация не является таковой (например, уровень моей зарплаты не является секретом для папуаса Новой Гвинеи, любого еврогражданина, президента США).
- помним, что потеря зашифрованной конфиденциальной информации не является утечкой.
- не забываем про сроки, в течение которых защищаемая информация остается конфиденциальной.
Исходя из этих принципов, строим план защиты (оставляем для параноиков вариант зашифрованной пару раз TrueCrypt’ом флешки):
1. Самые ценные данные отправляем в американское или еврооблако, предварительно зашифровав чем-нибудь ГОСТ’овым.
2.Менее ценные данные отправляем туда же, но без предварительного шифрования.
3. Данные не представляющие особой ценности, а таких всегда будет большинство, оставляем на хранении на территории РФ (типа Яндекс.Диск).

При такой схеме более важным, чем сами данные являются ключи шифрования таковых и доверенность среды, с которой осуществляется доступ. Разумеется, данный подход не является универсальным, а очень зависит от модели угроз. Представьте, что будет, если наши чиновники продолжат для служебной переписки использовать «безопасный» Gmail, или коммерческие фирмы продолжат использовать социальные сети в качестве базовой площадки для обсуждения Roadmap, Knowhow и прочего внутреннего документооборота.

среда, 27 ноября 2013 г.

Блокировка субъекта ПДн

В очередной раз перечитываю святое писание на тему 152-ФЗ и обратил внимание на п.1 ст.14. Цитирую:

Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Следовательно, в любой момент времени можно получить заявление от клиента со словами «А заблокируйте мои персональные данные тчк». Выношу на обсуждение вопрос о том, что же такое заблокировать ПДн? Возможные варианты:
·         удалить
·         заархивировать
·         перевести все продукты клиента в неактивный статус
·         заблокировать банковскую карту, вход в Интернет банк и др.

Понятие блокирование входит в термин «обработка», т.к. является временным прекращением таковой. Если клиент предоставил неверные или неполные ПДн, оператор должен заблокировать клиентские учетные записи в своих системах. По этой логике сразу напрашивается следующий трюк. Клиентом берется кредит и вдогонку пишется заявление на блокирование ПДн. Банк теоретически переводит в неактивный статус клиента в своей кредитной системе и клиента перестают донимать вышибалы-коллекторы.

Вопрос к аудитории: что вы будете делать, и как будете отвечать клиенту, если к вам завтра придет подобное заявление?

вторник, 26 ноября 2013 г.

Про отмену платежа


С 01 января 2014 вступают в действие в т.ч. следующие «чудесные» пункты Статьи 9 из 161-ФЗ:

11. В случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции.

12. После получения оператором по переводу денежных средств уведомления клиента в соответствии с частью 11 настоящей статьи оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления.

13. В случае, если оператор по переводу денежных средств не исполняет обязанность по информированию клиента о совершенной операции в соответствии с частью 4 настоящей статьи, оператор по переводу денежных средств обязан возместить клиенту сумму операции, о которой клиент не был проинформирован и которая была совершена без согласия клиента.

Упрощаю для понимания эти пункты:

11. При потере карты или при левом платеже нужно не позднее суток сообщить в банк.

12. После этого банк, безусловно, обязан вернуть деньги.

13. Если банк не отправил SMS о левом платеже (а не что она не пришла!), банк также обязан вернуть деньги.

Итак, клиент при утере своего средства платежа, например, банковской карты должен незамедлительно уведомить об этом кредитную организацию. Ниже в таблице я зарисовал текущую ситуацию о лимитах на дебетовые карты банка Тинькофф, чей продукт я в т.ч. использую. Из условий видно, что карты «заточены» на проведение операций в торгово-сервисной сети. Во-первых, при таких операциях не требуется ввод PIN-кода, а во-вторых, за покупки всегда возвращается минимум 1% (cash back).

Операция
Меры ИБ
Лимиты
 
1
 
Снятие наличных в банкомате
PIN-код
Суточный
Месячный (общий)
 
2
 
Оплата в торгово-сервисной сети
Только контроль
(SMS-оповещение)
-
 
3
 
Оплата через Интернет (без присутствия карты)
а) On / Off
или
б) CVV или CVV + 3D-Secure
Суточный
-
 
4
 
Выполнение платежей или переводов в Интернет-банке
а) Пароль + SMS-код
далее
б) SMS-пароль или шаблон
-
-

Конечно, для безопасной и прогнозируемой оплаты стоит предположить стандартные компенсационные меры:

- постоянно отслеживать и отодвигать «вправо» месячный лимит перед совершением или планированием покупок.

- чаще пользоваться точками, в терминалах которых реализована функция PayPass / payWave.

- держать карту в заблокированном состоянии (там, где это возможно).

Если при утере карты ей воспользуется злоумышленник, он сможет только провести торгово-сервисную операцию, по результатам которой клиент должен получить SMS с содержанием и суммой операции. После этого клиент незамедлительно должен начать бить тревогу – блокировать карту. А если мобильный телефон недоступен или SMS приходят с хорошим запозданием, что стало уже почти традицией и не только в Москве? В этом случае самое главное уведомить об этом банк в течение суток, и он будет обязан вернуть вам пропавшие деньги. Далее можно ожидать от банка регрессный иск, но вначале клиент всё же получит возврат своих денег.

воскресенье, 17 ноября 2013 г.

Про Яндекс.Деньги

Мимоходом столкнулся с сервисом Яндекс.Деньги когда искал способ перебросить деньги со Сбербанка на Киви-кошелек, что напрямую сделать невозможно. Весьма странно входить в платежную систему, через социальные сети ВКонтакте или Одноклассники. Поэтому и вводится понятие платежного пароля.
Мне пришлось разориться на 1 рубль в их пользу, чтобы немного протестировать сервис. Количество ошибок в web-формах или просто ошибок меня удивило - я давно не встречал ничего подобного. Как я и предположил деньги со счета невозможно законно вывести без комиссии. Читаю Соглашение: «5.6.2. НКО вправе взимать вознаграждение за осуществление перевода денежных средств при возврате остатка Электронных денег». Единственный способ обналичивания, который советует интернет это организовать точку пополнения сотовых телефонов, брать с народа наличные и перегонять собственные деньги от них к операторам связи.
Из позитивного обратил внимание на целых 5 способов подтверждений платежей либо важных настроек в интерфейсе:
1. платежный пароль (не должен совпадать с паролем на вход)
2. SMS-пароль (всё как обычно)
3. пароль из JPG-таблицы
4. пароль из аппаратного токена в виде карточки (уже не продается)
5. аварийный пароль из списка в 25 шт. вида D183E0GA3F, если утеряны, сломаны или недоступны телефон, JPG-файл или токен.
Следующий по важности вопрос - как удалить созданный кошелек? Прямого ответа на этот вопрос, видимо, нет, можно только удалить полностью свой профиль…

среда, 13 ноября 2013 г.

Долой SMS?

Три оператора (красный, желтый и зеленый), наверное, как сговорившись, решили повысить цены на SMS для банков под видом того, что последние рассылают много спама. Идея хорошая, но если начать анализировать глубже, то легко придти к выводу, что они сами и способствуют этому: предоставляют канал связи и получают деньги за его наполнение.
Надо признать, что SMS в последнее время стали самым удобным вторым фактором аутентификации, а также способом подтверждения действий клиента. Сейчас SMS-информирование у банков стоит 30-50 рублей в месяц. Рыночную монополию экономику никто не отменял, поэтому грех бы не повысить цены?
Телефон всегда у всех под рукой, достаточно посмотреть, как каждый второй всю поездку на транспорте «тычется» в него. Какие альтернативы могут быть у банков? Экспресс поиском легко ищется, что криптокалькуляторы есть у нескольких ведущих банков: Номос-банк, Московский индустриальный банк, Россельхозбанк, банк Возрождение. Предложений OTP-токенов еще больше, например: банк Уралсиб, СДМ-банк, Москомбанк, Новый Московский банк и многих-многих других. Если посмотреть прайс от Аладдина, то увидим, что, например, eToken PASS продается по 700 руб. Понятно, что при массовых закупках этот ценник станет в разы ниже. Банки могут его даже дарить клиентам, скажем, открывшим свой первый вклад на определенных условиях. Недостаток лишь в том, что клиентам придется всегда таскать с собой этот брелок.
Можно даже написать программные ОТП-токены под любую современную платформу и устанавливать приложение на телефон клиента, сразу же «зашивая» в него индивидуальные параметры для алгоритма генерации одноразовых паролей. Напрашивается вывод, что при грамотной маркетинговой политике и экономике Банкам вполне по силам умерить аппетиты таких «поднимателей» цен.

четверг, 7 ноября 2013 г.

Мешать ПДн не вредно

Пост навеян сегодняшним посещением конференции «Защита персональных данных», на которой в т.ч. подробно обсуждался вопрос обезличивания ПДн. Да, уже есть свежий Приказ №996 Роскомнадзора, в котором перечислены наиболее удобные методы обезличивания: введение идентификатора, изменение семантики, декомпозиция, перемешивание. Подробно было остановлено внимание операторов на последнем.

Итак, перемешивание это метод, при котором значения полей таблицы практически хаотически меняются местами, без изменения содержания самих данных. В общем случае такое обезличивание предлагается делать в два шага, повторяя их более десятка раз.
1. Разбиваем таблицу на сегменты
2. Циклически сдвигаем записи в каждом сегменте
При повторах меняются только параметры: на сколько сегментов разбить и на сколько шагов сдвинуть записи. Если выбор параметров рандомизировать, восстановление ПДн становится невозможным! Достоинства метода в том, что вычислительные трудозатраты низкие, а стойкость растет от количества записей в таблице.
Напомню, в каких случаях желательно иметь обезличенные данные:
- для статистических и/или аналитических нужд
- при передаче баз к разработчикам
- при работе с базами в тестовых средах
Я задумался, а можно ли использовать данный метод, если в базах используются номера кредитных карт. Можно и, например, вот так:
Фамилия
Имя
Отчество
№ символы 1-6
№ символы 7-16



константа
уникальные
По другому «бить» номер не имеет большого смысла, т.к. первые цифры это код банка-эмитента, а последняя - контрольная сумма.


вторник, 5 ноября 2013 г.

Передача документов аудитору


Перед многими организациями во время проведения различных аудитов встает вопрос о передаче или не передаче аудиторам различной документации. Разумеется, подписание никакого NDA вас ни от чего не спасет. И вот какие варианты мне сразу видятся по мере уменьшения зла.
0. Отправка по почте оглавлений документов, с детализаций заголовков хоть до десятого уровня.

1. Передача документов на вынос. По почте или на флешке с установлением сложного пароля на архив, благо все современные архиваторы поддерживают AES. Пусть даже с удалением из документов конфиденциальных фрагментов.

2. Непосредственная работа с документами в офисе компании. Распечатываются документы или организуется рабочее место с отключенными интерфейсами ввода-вывода.

3. Удаленная работа с документами. Организуется сервис, в котором в режиме удаленного стола транслируется изображение с блокированием print, copy-paste и save as.

Что же можно сделать с унесенными документами, даже без учета нарушения их конфиденциальности?

- можно продать в качестве «рыб».

- можно продать  услугу по разработке документов.

- можно продать себя в качестве «эффективного» писателя документов.

А как поступаете при аудитах вы?

четверг, 24 октября 2013 г.

Нужна ли сертификация по PCI DSS (продолжение)


В прошлом посте я показал, что все ведущие банки имеют комплайнс PCI DSS. Можно предположить, что если «идти» по рейтингу дальше, то ситуация должна ухудшаться. Так и получается. Привожу информацию, которая достаточно быстро ищется поисковиками, по рейтингу, который я условно обозначу как ТОП 20-50, разве что исключив из него иностранные банки.

Национальный клиринговый центр
?
Инфа не найдена
Ханты-Мансийский банк
Есть
Связь-банк
?
Инфа не найдена
Глобэкс
?
Внешний процессинг
Восточный Экспресс Банк
?
Инфа не найдена
Петрокоммерц
Есть
 
Зенит
Есть
Возрождение
Есть
 
Транскредитбанк
Есть
 
Национальный банк «Траст»
Есть
 
Бинбанк
?
Открытие
?
Инфа не найдена
Уральский Банк Реконструкции и Развития
Есть
 
Московский Индустриальный Банк
Есть
 
МТС-банк
?
Инфа не найдена
ОТП Банк
?
Инфа не найдена
Новикомбанк
?
Инфа не найдена
Кредит Европа Банк
?
Инфа не найдена
Внешпромбанк
?
Инфа не найдена
Транскапиталбанк
?
 
СМП банк
Есть
 
СКБ-Банк
Есть
МСП Банк
?
Инфа не найдена
Авангард
?
Инфа не найдена
Татфондбанк
Есть
Инвестторгбанк
?
Инфа не найдена

 А в Вашем банке есть сертификат PCI DSS?