Удобные и доступные решения строгой аутентификации HID Activid
Gemalto e banking oct 2012 (r)
1. Решения Ezio от Gemalto
Информационная безопасность для банков:
дистанционное банковское обслуживание
eBanking + eCommerce
1
1
2. Решения Gemalto для банков
• Gemalto – ведущий поставщик решений на базе
смарт-технологий для банков:
– Банковские карты – более 800 млн. карт в мире
– Решения по строгой аутентификации для сотрудников
банка
► Решения по безопасному доступу клиента банка
(юридического или физического лица) для
дистанционного банковского обслуживания (ДБО)
2
2
3. Решения Gemalto работают в ТОП-100 мировых банков
Клиентами Gemalto являются более чем 900 банков во всем мире
800 млн. человек используют банковские карты Gemalto
Более 30 млн. клиентов банков пользуются безопасными решениями
Gemalto e-banking
3
3
4. eBanking – обзор решений
CAP/DPA EMV ридеры
Дисплей-карты
DISPLAY CARD TOKENS
EZIO EDGE EZIO CLUB EZIO THIN EZIO THIN OPTIC
ОТР-токены
EZIO onCARD
Решения на базе SMS
Сервер аутентификации
EZIO LAVA
Подсоединяемые устройства
EZIO SHIELD PRO
4
4
5. Подтверждение транзакции
• Если вы не знаете, что вы
подписываете...
X ... Это значит, что кто-то другой может
ввести вместо вас сумму перевода
или счет получателя....
Идентифицирован только пользователь
• ...Поэтому необходимо связать
личность пользователя с
конкретной транзакцией
... что существенно снижает риск
злоупотребления
Идентифицированы пользователь и транзакция
5
5
6. Проверка транзакции
Номер счета?
OK
12312-3123
Сумма:
OK
1 234,00
PIN-код?
OK
****
Для завершения транзакции
пользователь должен
подтвердить ее содержание
6
6
7. Линейка продуктов Ezio
Единая система для всех индивидуальных решений и типов продуктов
МОБИЛЬНЫЕ
РЕШЕНИЯ
ПОДСОЕДИНЯЕМЫЕ
РИДЕРЫ
PKI / ЭЦП
ДИСПЛЕЙ-КАРТЫ
ТОКЕНЫ
РИДЕРЫ
7
7
8. Устройства Ezio
ОПТИМАЛЬНЫЙ НАБОР ПРОДУКТОВ ДЛЯ СТРОГОЙ АУТЕНТИФИКАЦИИ КЛИЕНТА
EZIO EDGE EZIO CLUB EZIO THIN EZIO THIN OPTIC EZIO SHIELD PRO EZIO PICO
PKI SOLUTIONS
• Различные форм-факторы
• Большие экраны и кнопки
• Высокая мобильность
EZIO EZIO PKI CARD
• Высокий уровень удобства
PC USB-TR EZIO ESIGNER
EZIO CLASSIC CLIENT
• Повышенная безопасность
TOKENS DISPLAY CARD TOKENS
EZIO LAVA EZIO SLIM EZIO onCARD
OPTIC
8
8
9. Ридеры: основные преимущества
• Высокий уровень безопасности
– Защита PIN-кодом
– Все схемы использования OTP, включая контекстное
подтверждение
– Ключ и расчет OTP на EMV-чипе
• Дружественность для пользователя
– Ввод PIN-кода: тот же принцип, как при платеже
– Нет риска при потере ридера
• Оптимизированная совокупная стоимость
владения (ТСО)
– Нет привязки ридера к конкретному пользователю
Многие банки перешли от
простых OTP-токенов к ридерам в
– Нет необходимости блокировки устройства при потере
процессе миграции на EMV-карты
– Не нужен пароль
– Стандартное решение (CAP/DPA)
• Поддерживаются любые EMV-карты
– MasterCard и Visa
9
9 – Другие (требуется интеграция)
10. Ezio Club
• Ключевые характеристики
• Классический дизайн
• Различные возможности клавиатур
(от 17 до 21 кнопки)
• Сменяемые аккумуляторы
• Используется в банках
• Royal Bank of Scotland
(Великобритания)
• Banco Postale (Италия)
Используется • Nationwide (Великобритания)
миллионами • AIB (Ирландия)
пользователей • Banques Populaires (Франция)
10
10
11. Ezio Edge
• Ключевые характеристики
• Прочный корпус
• ЖК экран 2x14
• Сменяемые аккумуляторы
• Подтверждение транзакции (опция)
• Динамическая подпись
• Безопасное выделение домена
Распространенная модель в • Используется в банках
Восточной Европе
• Банк Возрождение (Россия)
(включая Россию)
• Raiffeisen (Румыния)
• Tatra Banka (Словакия)
• ICA Banken (Швеция)
11
11
13. TRY
EZIO
Ezio Thin Optic
• Ключевые характеристики
• Функционал и дизайн Ezio Thin
• Автоматическая передача данных через
кодированный оптический интерфейс
• Ezio Web Plug-in – программный
интерфейс для интеграции с веб-
приложениями
• Используется в банках
• DSV (Германия)
• LODH (Швейцария)
13
13
14. Ezio Display Card
• Инновационное решение
– Формат кредитной карты
– Магнитная полоса
– EMV-чип
– клавиатура
– ЖК экран для ОТР
– Различные варианты персонализации
– Различные варианты использования
– Варианты форм-факторов (наличие отсутствие
чипа/полосы/клавиатуры, расположение кнопок и др.)
• Используется в банках
– BNP Paribas (Франция)
– Erste (Австрия)
• Сертифицирована и
14
14
16. Ezio Strong Authentication Server
Полное, готовое к использованию серверное решение на базе CAP/DPA
• Полноценный сервер аутентификации CAP 2007 / DPA
– Все уровни безопасности (OTP, Challenge/Response, Transaction Signature)
– Управление данными - выделенная база данных
– Поддержка любых карт EMV
• Готовность для приложений электронной торговли
– Платежи и
– Интеграция с
• Высокая доступность (High Availability)
– Избыточная (redundant) архитектура
– Интеграция с HSM разных моделей (поставка ) 16
16
17. Схема работы Ezio SA Server
Запос на валидацию OTP
использованием данных
карты в базе данных
(в т. ч. Key ID)
Запрос на валидацию OTP 3
HSM
Login : user ID
1 + OTP
Получение аутентификационных данных
для каждой валидной карты, соответствующей
ID пользователя в базе данных
5 2
Валидация ответа
Приложение
интернет-банкинга Strong Authentication
Server
4
Логирование данных аутентификации
и результата в БД
17
17
18. Пример интеграции Ezio SA Server
Система управления
Система пластиковыми картами (Card
администрирования банка Management System) банка
Веб-интерфейс или Card Data Management
XMLчерез HTTP(s)
XML через HTTP(s)
Валидация OTP
XML через HTTP(s)
База данных
Приложения Сервер
онлайн-банкинга аутентификации
HSM
18
18
19. Дополнительные возможности:
электронная торговля
Интернет-банкинг
Сервер онлайн-
банкинга
Ezio SA
Server
Электронная торговля
Сервер
Страница электронной
аутентификации торговли
19
19
20. Аутентификация с помощью SMS
• В случае, если пользователь забыл или потерял ридер,
либо для определенных категорий клиентов*
• OTP с ограниченным сроком действия посылается по SMS
на мобильное устройство пользователя
• Доступно всем пользователям CAP/DPA EMV благодаря OTP
342804
интерфейсам с провайдерами сервисов SMS
*см. ниже об опасности использования SMS 20
20
21. Насколько безопасно решение
«одноразовый пароль по SMS»?
• Одноразовые пароли (ОТР) по SMS – популярная
технология онлайн-банкинга
– До сентября 2010 года не было обнаружено ни одной атаки с с
использованием OTP по SMS
• Сентябрь 2010 г. - появление трояна ZitMo
– Троян типа Zeus для мобильных платформ (Zeus in the Mobile,
ZitMo)
– Кража ОТР, посланных по SMS.
• Лаборатория Касперского опубликовала в августе
предупреждение об угрозе атаке ZitMo
(http://www.androidauthority.com/kaspersky-labs-warns-new-wave-
zitmo-android-attacks-imminent-106567/ )
21
21
22. Как работает троян ZitMo
• ZitMo работает в сотрудничестве с обычным трояном ZeuS
Trojan.
– Пользователю мобильного устройства предлагается установить
вредоносное приложение (путем отправки ему SMS с линком для
установки)
• Задача: перехватить ОТР, посланный по SMS быстро и
незаметно для пользователя.
– Банк посылает текстовое сообщение с ОТР на мобильное
устройство клиента.
– Вирус ZitMo пересылает текстовое сообщение с ОТР на телефон
злоумышленника.
– Злоумышленник использует ОТР для подтверждения транзакции.
22
22
23. Сценарий атаки с использованием ZitMo
• Хакер ворует логин и пароль, используя
другую вредоносную программу
• Хакер заражает мобильное устройство
пользователя вирусом ZitMo
• Хакер подсоединяется к программе с
использованием ворованных учетных данных
через компьютер пользователя и запускает
операцию, требующую подтверждения
паролем, посланным по SMS
• Пользователь получает на мобильное
устройство SMS с кодом подтверждения
(ОТР). Вирус на устройстве пересылает SMS
на устройство хакера
• Хакер вводит код и подтверждает транзакцию.
23
23
25. Ezio Suite – системы аутентификации Gemalto
Строгая аутентификация в
банковском приложении с широкой
возможностью выбора устройств и Ezio Suite – наиболее гибкое и
простое для развертывания
архитектуры
решение ДБО на рынке с
многочисленными примерами
масштабных внедрений.
ВСЕ
ПОДДЕРЖКА
ПОДДЕРЖКА ЕДИНЫЙ УСТРОЙСТВА Поставлено
СТАНДАРТОВ:
СТАНДАРТОВ: СЕРВЕР EZIO 70 млн. Более 150
OATH,
OATH, РАЗНЫЕ
РАЗНЫЕ РАБОТАЮТ банков
CAP/EMV, PKI
CAP/EMV, PKI КАНАЛЫ
КАНАЛЫ
устройств
ОДНОВРЕ-
МЕННО
25
25
26. У Gemalto есть решения
для защиты от всех видов атак
TRANSACTION
VERIFICATION
УТВЕРЖДЕНИЕ
ТРАНЗАКЦИИ В
УТВЕРЖДЕНИЕ КОНТЕКСТЕ
ТРАНЗАКЦИИ
CHALLENGE /
RESPONSE
ОДНОРАЗОВЫЙ MAN-IN-
ПАРОЛЬ THE-BROWSER
MAN-IN-
THE-MIDDLE CROSS CHANNEL
ATTACKS
СТАТИЧЕСКИЙ
SOCIAL
ПАРОЛЬ
PHISHING ENGINEERING RELAY
ATTACK
WHALING
PHARMING
SHOULDER CONTRACTUAL
SURFING FRAUD
KEY/SCREEN
ID THEFT LOGGING
26
26
27. …и клиентам можно предложить новые сервисы
ДЛЯ РАЗВИТИЯ БИЗНЕСА В БЕЗОПАСНОЙ СРЕДЕ
УТВЕРЖДЕНИЕ
ТРАНЗАКЦИИ В
КОНТЕКСТЕ
CONTEXTUAL
SIGNING
УТВЕРЖДЕНИЕ
ТРАНЗАКЦИИ
CHALLENGE /
RESPONSE
ОДНОРАЗОВЫЙ MAN-IN-
ПАРОЛЬ THE-BROWSER
MAN-IN-
THE-MIDDLE CROSS CHANNEL
• Проверка и изменение счета
ATTACKS
СТАТИЧЕСКИЙ
SOCIAL
• Перевод средств
ПАРОЛЬ
PHISHING ENGINEERING RELAY
(трансграничный)
ATTACK
• Получение и подписание
WHALING
PHARMING
• Проверка счета
SHOULDER индивидуальных предложений
CONTRACTUAL
SURFING (кредиты, ипотека иFRAUD
др.)
• Перевод средств
KEY/SCREEN
• Индивидуальные • E-commerce
ID THEFT LOGGING предложения • Госуслуги (e-Government)
• Проверка
счета • E-commerce
27
27
28. Банк Barclays, Великобритания
• Используется более 2 млн. онлайн-
пользователей
• + 5 000 новых ридеров в день
• Клиентам нравится!*
– Более безопасно (68%)
– Доступны новые сервисы (16%)
– Привлекательное решение (16%)
*Премия лучшего решения
*результаты опроса по банковской безопасности
Best Security/Anti-Fraud Development
• Окупаемость – 1 год на 2008 UK Credit Card Awards
28
Marketing MEA
28
30. Преимущества Gemalto
• Полная линейка продуктов
• CAP/EMV-ридеры, USB-ридеры, USB-токены, ОТР-токены, решения
для ОТР по SMS, программное обеспечение, карты…
• Поставка и качество
• Современный дизайн, соответствие стандартам, собственные
производственные мощности, клиенты по всему миру,
• кастомизация, возможность прямой поставки клиенту
• ГАММА-КАРТ
• Поставка со склада в Москве основных позиций продукции Gemalto
• Кастомизация, персонализация, упаковка
• Возможность поставки под пилотный проект
• Дополнительные продукты: принтеры, эмбоссеры, модули HSM,
программное обеспечение…
30
30