`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Павел Молодчик

О TAN-генераторах и анимированных QR-кодах

+33
голоса

TAN (Transaction Authentification Number) есть 5- или 6-значное число, вводя которое клиент электронного банка удостоверяет свою личность при выполнении финансовой операции.

Число это он получает через sms, рискуя при этом стать жертвой злоумышленника, завладевшего копией его сим-карты (это осуществимо, если от имени клиента заявить провайдеру о пропаже телефона) или перехватившего входящее сообщение
посредством внедренного в смартфон трояна, или с помощью системы мониторинга GSM и CDMA-трафика (применение таких систем вне спецслужебной практики покамест экзотика, но технологии не стоят на месте и становятся год от года доступнее).

Во избежание этих рисков многие банки периодически рассылают клиентам индивидуальные TAN-списки. В виде распечаток в особых конвертах, внутренняя поверхность коих испещрена муаром, затрудняющим просвечивание. В тех случаях, когда градус морального разложения в обществе не исключает возможности аккуратного вскрытия этих конвертов на почте, списки выдаются в ближайшем отделении банка при предъявлении документов. Это неудобно для клиентов и хлопотно для банков (не говоря уже о том, что некоторые электронные банки виртуализованы до такой степени, никаких отделений у них нет).

Но даже в этом случае злоумышленник может перехватить TAN, заманив клиента на фальшивый сайт, так что обеспечиваемый уровень безопасности все-таки оставляет желать лучшего.

К тому же, распечатки неэкологичны и старомодны; самый их вид вопиет о необходимости модернизации. В Германии, например, эта модернизация идет полным ходом и завершение ее планируется к середине следующего года.

Если вы думаете, что речь идет о чем-то вроде перехода к рассылке TAN-списков в виде электронных писем, то вы, конечно, ошибаетесь, ибо все вышеописанные схемы злоумышлений предполагают осведомленность хакера об учетных данных для доступа к банковскому сайту, и ясно, что пути, позволившие хакеру эту информацию получить (трояны, кейлоггеры и фишинг) в равной степени пригодны и для получения доступа к почтовому ящику.

Речь ведется о внедрении т. наз. TAN-генераторов, в массовом "добровольно-принудительном" порядке навязываемых клиентам по цене ~$10. Устройства эти, видом (и вычислительной мощностью) напоминающие калькуляторы, представляют собой smartcard-считыватели в корпусе с обрезиненным верхним торцом, несущим пять оптических датчиков. Датчики выстроены в ряд и отделены друг от друга равными промежутками, а резина нужна для защиты экрана компьютера или смартфона, к которому торец TAN-генератора прикладывают для получения очередного TAN'а, потребного для выполнения финансовых операций в ходе посещения банковского сайта, в который внедрено флеш-приложение, индицирующее в масштабируемом оконце пять квадратиков, мерцание коих определяется результатами работы контролируемого сервером генератора случайных чисел, а т.ж. кое-какой служебной информацией.

Вместо того, чтобы перечитывать предудущую фразу, взгляните на ролик: http://www.youtube.com/watch?v=U7PnC1S-j4I (если не знаете немецкого - не беда, в нем все понятно и без слов).

Число, выводимое на ЖК-табло TAN-генератора, является, очевидно, результатом вычисления функции от переданного световым кодом числа и ключа, содержащегося во встроенном в кредитную карточку чипе.

Очевидным преимуществом сгенерированных "на лету" TAN'ов перед "бумажными" является возможность резко ограничить срок их действия, а т.ж. создание технических затруднений для реализации фишинговых схем, в рамках которых злоумышленник пытается встроиться между клиентом и банковским сайтом.

Между прочим, кроме TAN'а на табло индицируется также счет получателя, проверкой корректности которого не стоит пренебрегать, ибо это защищает от злоумышленников, прибегающих к особой разновидности фишинга, осуществомость которой продемонстрирована экспертами из компании RedTeam Pentesting GmbH (в настоящее время эта прореха в описываемой технологии является наиболее обсуждаемой в немецком интернете).

Заботясь о клиентах, не могущих в силу отсутствия флеш-проигрывателя или по каких-то другим причинам организовать считывание светового кода, некоторые банки предъявляют случайные числа для ввода вручную (вот для чего в TAN-генераторы оснащены цифровыми клавишами).

Масштабируемость оконца необходима для того, чтобы пользователь мог привести в соответствие ширину оконца (зависящую от диагонали дисплея) с шириной TAN-генератора.

Кстати, не кажется ли вам вопиющей невозможность приложению получить достоверные данные о физических размерах своих собственных интерфейсных элементов, -- после сорока-то лет совершенствования графических интерфейсов?! Похоже, единственную надежду на избавление пользователя от возни с масштабированием оконца (а заодно и с выравниванием генератора относительно него) несут сенсорные экраны,  которые можно запрограммировать для автоматического определения положения и формы прикладываемых к ним TAN-генераторов (для этого их орган зрения надлежит отделать токопроводящей резиной, электрически связанной с пальцами пользователя).

Вообще говоря идея использования компьютерного дисплея для передачи информации электронным считывателям не нова, -- лет 10 тому существовали дешевенькие КПК, которые, если помните, нужно было прикладывать к мерцающему окошку. С тех пор эта идея не только не отмерла (чего можно было бы ожидать ввиду совершенствования, стандартизации и удешевления реализации всевозможных проводных и беспроводных интерфейсов), но получила развитие: теперь, как видите, вместо одного квадратика задействовано целых пять.

Вершиной прогресса в TAN-генераторостроении считается Ezio TAN фирмы Gemalto - первый (согласно заявлениям производителей) генератор в форм-факторе визитной карточки. Помимо компактности (4 мм. толщины и 22 г. веса) преимуществами его являются наличие зуммера, информирующего пользователя о завершении считывания световых сигналов, а также дополнительного шестого фотоприемника, регистрирующего текущей интенсивности рассеянного света, и тем повышающего стабильность работы остальных пяти фотоприемников.

О TAN-генераторах и анимированных QR-кодах

Думается, компактность Ezio TAN, позволяющая носить его в бумажнике рядом с кредиткой, -- преимущество, столь активно пропагандируемое маркетологами Gemalto, -- одновременно является и недостатком ибо небезопасно, хотя и удобно, держать все яйца в одной корзине (иными словами, все элементы ключа-головоломки, объединение коих необходимо для доступа к банковскому сайту, в одном кармане).

Если пресловутые КПК примитивностью своей зрительной системы напоминали эвглену зеленую, то дальнейшая эволюция кардинально усложнила органы зрения гаджетов, сообщив им их способность мгновенно распознавать QR-коды, так что демонстрация QR-кода на веб-страничке стала практичным способом переправки URL-адресов из памяти компьютера в память смартфона.

Не удивительно ли, что еще не получили распространения анимированные QR-коды?

Во всяком случае, строка "animated QR-code" в качестве запроса к Google не позволила мне на нескольких первых страницах с выдачей результатов поиска найти ничего релеватного.

Релевантного не в том декоративном смысле, который вкладывает в искомое понятие Йероэн Штееман (Jeroen Steeman), -- создатель онлайнового QRC-конструктора, позволяющего для пущей броскости встраивать в конвенциональные QR-коды анимированные элементы (наличие коих не препятствует расшифровке информации благодаря избыточности ее кодирования).

О TAN-генераторах и анимированных QR-кодах

Я имею в виду анимированные QR-коды (здесь и далее для краткости -- AQR-codes) вот в каком примерно смысле:
О TAN-генераторах и анимированных QR-кодах

В первой версии стандарта AQR каждый кадр будет представлять собой QR-код, а уж дальше AQRCEG (Animated Quick Response Code Expert Group) займется его усовершенствованием, разбираясь с такими вопросами как применение алгоритма сверточного декодирования Витерби для повышения темпа демонстрации кадров без потери надежности связи и т.п.

Низкая скорость, скажете вы? Согласен; мне интуиция подсказывает, что вряд ли на практике пропускная способность такого способа передачи данных сможет превзойти 128 Кбод. Зато нулевая стоимость аппаратной части, зато стопроцентная совместимость со всеми моделями смартфонов и планшетов (в отличие от различных реализаций Near-Field-Communication-технологий), зато абсолютная бесплатность трафика (неподконтрольного провайдерам в отличие от GPRS и прочих, так сказать, Far-Field-Communication-технологий), зато независимость от превратностей покрытия, зато нулевой выброс "электронного смога", зато гарантированная простота отключения (не хотите, чтобы ваш смартфон это видел? закройте ему глаз!). Зато уверенность в том, что если у нетбука или какого-то другого вашего гаджета разом откажут USB-разъемы и WiFi-модуль, вы, прежде чем он окончательно испустит дух, сможете без особых хлопот спасти офисные документы, преобразовав их в анимированный QR-код, и, к примеру, записав результат на камкордер.

Конечно, деятельность AQRCEG несколько усугубила бы кризис в ИТ-индустрии: вот у меня есть знакомый биолог, планирующий внести лепту в оживление ИТ-индустрии посредством приобретения нового ПК, при том что старый ПК у него работает безукоризненно, и производительности Pentium-100 ему для набора статей и электронных писем хватает с лихвой. Проблема знакомого состоит, собственно говоря, в том, что на работе у него недавно испустил дух последний способный читать 3.5-дюймовые дискеты компьютер.

+33
голоса

Напечатать Отправить другу

Читайте также

Анимированные QR-коды - это классно!
Но не понял сути проблемы:
Мне банк выдал смарт-кард ридер. Вставляешь карточку (с чипом, ессно), вбиваешь PIN, получаешь TAN. Никаких танцев с бубном. Все совершенно бесплатно. Просто о клиенте надо заботиться , а не экономить на нем. Разве что, как способ удешевления всего...

Но не понял сути проблемы:
Мне банк выдал смарт-кард ридер. Вставляешь карточку (с чипом, ессно), вбиваешь PIN, получаешь TAN. Никаких танцев с бубном.

Суть проблемы состоит в том, что доверчивого клиента заманивают на хакерские фишинговые сайты и завладевают TAN'ом. Мигающие квадратики - танцевальный бубен для усложнения жизни хакерам.

Все совершенно бесплатно. Просто о клиенте надо заботиться , а не экономить на нем.

Где ж по-вашему деньги ваш заботливый банк взял на оплату гаджетов кроме если не из карманов клиентов своих тем или иным образом?:)

Простите, а хакер не может использовать что-то обыденное для своих корысных целей? Мой заурядный смартфонон с бесплатной программой (без ритуальных танцев или бубна) менее одной секунды потратил на распознание этих "броских" анимашек.

В чём же сложность?

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT