Наши конференции

В данной секции Вы можете ознакомиться с материалами наших конференций

VII МНПК "АЛЬЯНС НАУК: ученый - ученому"

IV МНПК "КАЧЕСТВО ЭКОНОМИЧЕСКОГО РАЗВИТИЯ: глобальные и локальные аспекты"

IV МНПК "Проблемы и пути совершенствования экономического механизма предпринимательской деятельности"

I МНПК «Финансовый механизм решения глобальных проблем: предотвращение экономических кризисов»

VII НПК "Спецпроект: анализ научных исследований"

III МНПК молодых ученых и студентов "Стратегия экономического развития стран в условиях глобализации"(17-18 февраля 2012г.)

Региональный научный семинар "Бизнес-планы проектов инвестиционного развития Днепропетровщины в ходе подготовки Евро-2012" (17 апреля 2012г.)

II Всеукраинская НПК "Актуальные проблемы преподавания иностранных языков для профессионального общения" (6-7 апреля 2012г.)

МС НПК "Инновационное развитие государства: проблемы и перспективы глазам молодых ученых" (5-6 апреля 2012г.)

I Международная научно-практическая Интернет-конференция «Актуальные вопросы повышения конкурентоспособности государства, бизнеса и образования в современных экономических условиях»(Полтава, 14?15 февраля 2013г.)

I Международная научно-практическая конференция «Лингвокогнитология и языковые структуры» (Днепропетровск, 14-15 февраля 2013г.)

Региональная научно-методическая конференция для студентов, аспирантов, молодых учёных «Язык и мир: современные тенденции преподавания иностранных языков в высшей школе» (Днепродзержинск, 20-21 февраля 2013г.)

IV Международная научно-практическая конференция молодых ученых и студентов «Стратегия экономического развития стран в условиях глобализации» (Днепропетровск, 15-16 марта 2013г.)

VIII Международная научно-практическая Интернет-конференция «Альянс наук: ученый – ученому» (28–29 марта 2013г.)

Региональная студенческая научно-практическая конференция «Актуальные исследования в сфере социально-экономических, технических и естественных наук и новейших технологий» (Днепропетровск, 4?5 апреля 2013г.)

V Международная научно-практическая конференция «Проблемы и пути совершенствования экономического механизма предпринимательской деятельности» (Желтые Воды, 4?5 апреля 2013г.)

Всеукраинская научно-практическая конференция «Научно-методические подходы к преподаванию управленческих дисциплин в контексте требований рынка труда» (Днепропетровск, 11-12 апреля 2013г.)

VІ Всеукраинская научно-методическая конференция «Восточные славяне: история, язык, культура, перевод» (Днепродзержинск, 17-18 апреля 2013г.)

VIII Международная научно-практическая Интернет-конференция «Спецпроект: анализ научных исследований» (30–31 мая 2013г.)

Всеукраинская научно-практическая конференция «Актуальные проблемы преподавания иностранных языков для профессионального общения» (Днепропетровск, 7–8 июня 2013г.)

V Международная научно-практическая Интернет-конференция «Качество экономического развития: глобальные и локальные аспекты» (17–18 июня 2013г.)

IX Международная научно-практическая конференция «Наука в информационном пространстве» (10–11 октября 2013г.)

«Стратегические составляющие финансовой устойчивости и безопасности банковской системы и финансовых рынков Украины - 2014»

Сумарченкова И. А.

ФГБОУ ВПО Самарский государственный технический университет,
  г . Самара, Российская Федерация

Анализ средств и способов подтверждения платЕжных   транзакций в системах дистанционного   банковского обслуживания для   физических и юридических лиц

 

В настоящий момент системы дистанционного банковского обслуживания используются в большинстве кредитных организаций банковского сектора. Основной задачей таких систем (помимо предоставления клиенту информации о движении денежных средств) является прием распоряжений на перевод денежных средств контрагентам. Важнейшей частью этой задачи является доказательство того факта, что распоряжение отправлено правомочным пользователем системы.

В системах, ориентированных на работу с физическими лицами, с целью удешевления стоимости инсталляции (поскольку интеграция в программу средств криптозащиты возлагает на эксплуатанта системы дополнительные расходы в размере стоимости лицензии на интегрируемое ПО) обычно применяются варианты подтверждения документов путем ввода кодов со стретч-карты , списка одноразовых кодов или кода подтверждения, полученного по СМС на зарегистрированный в системе телефонный номер.

Надежность этих вариантов основывается на факте двухфакторной авторизации – предъявлении при входе в систему заранее полученного логина/пароля и дополнительного кода. Маловероятен сценарий, когда злоумышленник может получить доступ сразу к информации о входе в систему и к кодам авторизации платежных документов.

К недостаткам подобного типа авторизации следует отнести случаи, когда дополнительный код пересылался в SMS-сообщении и был недоступен в связи со сбоем доставки сообщения абоненту, т. е. СМС приходила позднее срока жизни в программе Банк-Клиент. Мною лично наблюдалась такая ситуация с системой Сбербанк-Онл@йн , где время для ввода кода подтверждения операции ограничено 300 секундами.

В системах, предназначенных для обслуживания юридических лиц, в настоящий момент инструментом подтверждения полномочий клиента является электронная подпись. В большинстве программ этого сегмента работа с электронной подписью происходит через интеграцию в приложение криптопровайдеров , имеющих необходимые лицензии и сертификаты безопасности от контролирующих органов.

Для хранения ключей подписи используются следующие носители информации: ключевые дискеты/USB flash , реестр компьютера/пользователя, смарт-карты (со считывателями), USB токены .

Использование в качестве хранилища ключей дискет/USB flash дисков, а также реестров компьютера/пользователя следует признать устаревшим и небезопасным, поскольку в данный момент известно большое количество вредоносных приложений (вирусов/ троянов ), ориентированных на кражу у пользователей информации о доступе к системам дистанционного банковского обслуживания и ключей подписи к ним. Как пример можно привести трояны Zeus , Carberp и SpyEye . Указанные вредоносные программы осуществляют поиск и передачу злоумышленникам ключей электронной подписи инфицированных компьютеров а также паролей к ключам и к учетным данным для авторизации в системах дистанционного банковского обслуживания. Поскольку файлы ключей на вышеуказанных носителях хранятся в открытом виде, это многократно увеличивает опасность их несанкционированного использования. Некоторые производители систем дистанционного банковского обслуживания, с целью уменьшения вероятности несанкционированного использования ключей подписи, требуют от пользователя дополнительных действий. Как пример – извлечь ключевой носитель из компьютера и заново предъявить его по требованию программы.

Смарт-карты представляют из себя широкий класс устройств размерами со стандартного USB flash диск а( в варианте формата SIM), до стандартной банковской карты + считывающее устройство. Смарт-карты используются как защищенные носители информации. В функционал полноразмерных считывателей премиум-класса заложен вариант визуализации ключевых параметров подписываемого документа, таких, как счет получателя и сумма операции, на дисплее считывателя. В этом случае клиент защищен от подмены реквизитов документа вредоносной программой на этапе подписания.

USB токены используются как защищенные носители информации. Появился также новый вид токенов , в которых реализована функция подписания платежного документа внутри самого устройства. В таких случаях на вход устройства подается удостоверяемый документ, а в ответ генерируется сигнатура подписи. При этом секретный ключ генерируется исключительно внутри токена самим токеном (один раз при инициализации клиентом USB токена ), используется только самим токеном и никогда, никем и ни при каких условиях не может быть считан из токена . USB токен может отдать внешним приложениям только открытый ключ подписи для проверки ее валидности . Негативным фактором, сдерживающим распространение подобных токенов , является их цена. Она на порядок превышает стоимость токенов , реализующих только функцию защищенного хранения. В то же время, защищенные хранилища уязвимы при протоколировании действий пользователя путем кей-логеров . Но токены-криптопроцессоры не защищены от варианта подмены реквизитов платежного документа.

Исходя из вышесказанного, на текущий момент наиболее надежными средствами подписи платежных документов являются смарт-карты со считывателями-визуализаторами, в которых контроль документа возложен на пользователя.

Вторыми по уровню защищенности являются токены-криптопроцессоры .

Все остальные варианты не обеспечивают необходимый уровень защиты от несанкционированного доступа злоумышленниками.