(no subject)
На прошлой неделе ProIT опубликовал два отличных материала на актуальные для меня темы. Первый из них затрагивает проблему взлома популярной у банкиров системы аутентификации клиентов с помощью номеров их мобильных телефонов. В своих комментариях я сформулировал ключевой для меня недостаток SMS-авторизации в том виде, как она реализована в настоящее время.
«Банк в одностороннем порядке, без консультаций с мобильными операторами, построил один из ключевых элементов своего сервиса - процедуру аутентификации пользователей - на операторских сервисах. Тем самым надёжность и устойчивость к попыткам взлома банковских продуктов оказалась привязана к политикам и внутренним процедурам третьих лиц, которые об этом даже не были предупреждены. Не говоря уже о том, что у операторов мобильной связи нет никаких правовых обязательств перед своими абонентами в части защиты их права на SIM-карты (в случае предоплаченных и априори анонимных услуг - Р.Х.)».
По словам эксперта, с технической точки зрения идентификация абонента предоплаченной связи не предполагается вовсе. Если человек утратил свою SIM-карту, он может попытаться доказать своё право на ассоциированный с нею номер. Но конечный итог зависит только от сотрудников операторской компании, которые полагаются на ряд предположений и допущений, что категорически неуместно, когда речь идёт об инструменте доступа к банковскому счёту.
Журналисты получили очень важное свидетельство представителей операторских компаний, касающееся реального отношения Приватбанка к защите денег его клиентов:
«..Мы неоднократно обращались к банку с просьбой предоставлять нам номера телефонов клиентов без указания других персональных данных (фамилий и пр.), которые подключили услугу SMS-аутентификации. К сожалению, на сегодняшний день вопрос так и не решен»
Понятно, что невозможно создать абсолютно непробиваемую защиту. К сожалению, массовое распространение смартфонов создаёт риски, которые ранее ассоциировались исключительно с миром "больших" компьютеров. На мой взгляд, приведенная по этой ссылке история обязывает банкиров, как минимум, давать клиентам выбор в деле использования тех или иных средств аутентификации. Готовы они рисковать своими деньгами, подцепив вирус - пусть используют действительно удобные методы наподобие SMS-авторизации. Не готовы - оставьте им возможность отключить слишком инновационную услугу и по-старинке пользоваться более примитивными, но устойчивыми к взлому механизмами. Вплоть до скрет-карт с одноразовыми паролями. А почему, собственно, нет? А пока мошенники продолжают обворовывать клиентов Приватбанка, пользуясь ошибками то ли самих клиентов, то ли самого инновационного банка страны.
Второй материал посвящён ситуации вокруг MNP. О накале страстей вокруг этой темы свидетельствует крайне болезненная реакция одного из фигурантов публикации, г-на Каргаполова. В своём комментарии на IT-Expert он очень эмоционально возмущается подлостью журналистов, не приводя ни одного внятного возражения к написанному, вспоминает, почему-то, Игоря Бурдыгу и Надежду Гончарук, что выглядит просто странно. Если не сказать сильнее.
Межд тем могу лишь согласиться с вот этим мнением Андрея Осадчука из Киевстар:
"...Большие вопросы вызывает предложенная процедура определения Администратора, полная немотивированных ограничений и, одновременно, лишенная конкретных критериев выбора, требований к оборудованию и ПО претендентов. Администратором почему-то не могут быть госпредприятия или Консорциум операторов, но может быть кто угодно при наличии «эскизного проекта технической реализации предоставления услуг» - данный подход является рисковым для целостности и бесперебойной работы телефонной сети общего пользования, частью которой становятся технические средства Администратора после их подключения к сетям операторов.."
Поехали дальше. Одним из ключевых пунктов противоречий между операторами и НКРС является вопрос о репликации центральной БД перенесенных номеров. Как известно, НКРС собирается запретить операторам использовать локальные копии центральной базы данных. Между тем репликация применяется для того, чтобы уменьшить объём сигнального трафика и повысить общую устойчивость системы. Мне стало интересно найти подтверждения в пользу тезиса НКРС о подобном запрете как распространённой практике. Заодно стало интересно, много ли европейских стран выбрали схему схему Query on Release вместо All Call Query, которую отстаивают операторы?
Изучение документа ECC и CEPT под названием "IMPLEMENTATION OF MOBILE NUMBER PORTABILITY IN CEPT COUNTRIES Updated: October 2005 (Original report: March 2003)" дало такой вот результат:
Несколько неожиданно, не правда ли? Ни одного примера имплементации Query on Release. Хм... Но нам ведь интересно, помимо этого, узнать и то, как часто регуляторы запрещают применять локальные копии данных, так ведь? Не скажу, что искал информацию по этому вопросу очень долго, но найти удалось лишь несколько упоминаний данного аспекта.
Вот что пишут об этом в упомянутом выше документе:
Number databases are typically managed in either a centralised or a distributed manner. The centralised model involves a single reference database containing data for all mobile numbers (or for all ported numbers - it may not be considered necessary to store data for numbers that have not ported). It is usual for this reference data to be copied to operational databases in each participating network on a frequent basis.
Там же, кстати, сказано по поводу Администратора БД:
A centralised number database for mobile number portability is generally managed by a consortium of network operators, which may comprise just the mobile network operators or all network operators which may be involved in routing of calls to mobile numbers. The actual operation and maintenance of a centralised number database may be out-sourced to a third party company which has experience in database operations.
В презентации, которую готовил по данной теме ФГУП ЦНИИС, вопрос репликации БД также упоминается вскользь:
Ну и в статьях на популярных ресурсах я не нашёл ни одного упоминания каких-либо запретов:
A network operator makes copies of the CDB and queries it to find out to which network to send a call.
В общем, аргументация НКРСИ и его добровольных и бескорыстных сторонников выглядит не очень убедительно.
Занятно, что г-н Каргаполов так и не дал внятного ответа на вопросы журналистов о всеукраинской общественной организации «Общество защиты потребителей услуг связи Украины», которую он, якобы, представлял на заседании НКРС, посвящённом обсуждению Положения о переносимости номеров. Похоже, стоит покопать в этом направлении.
«Банк в одностороннем порядке, без консультаций с мобильными операторами, построил один из ключевых элементов своего сервиса - процедуру аутентификации пользователей - на операторских сервисах. Тем самым надёжность и устойчивость к попыткам взлома банковских продуктов оказалась привязана к политикам и внутренним процедурам третьих лиц, которые об этом даже не были предупреждены. Не говоря уже о том, что у операторов мобильной связи нет никаких правовых обязательств перед своими абонентами в части защиты их права на SIM-карты (в случае предоплаченных и априори анонимных услуг - Р.Х.)».
По словам эксперта, с технической точки зрения идентификация абонента предоплаченной связи не предполагается вовсе. Если человек утратил свою SIM-карту, он может попытаться доказать своё право на ассоциированный с нею номер. Но конечный итог зависит только от сотрудников операторской компании, которые полагаются на ряд предположений и допущений, что категорически неуместно, когда речь идёт об инструменте доступа к банковскому счёту.
Журналисты получили очень важное свидетельство представителей операторских компаний, касающееся реального отношения Приватбанка к защите денег его клиентов:
«..Мы неоднократно обращались к банку с просьбой предоставлять нам номера телефонов клиентов без указания других персональных данных (фамилий и пр.), которые подключили услугу SMS-аутентификации. К сожалению, на сегодняшний день вопрос так и не решен»
Понятно, что невозможно создать абсолютно непробиваемую защиту. К сожалению, массовое распространение смартфонов создаёт риски, которые ранее ассоциировались исключительно с миром "больших" компьютеров. На мой взгляд, приведенная по этой ссылке история обязывает банкиров, как минимум, давать клиентам выбор в деле использования тех или иных средств аутентификации. Готовы они рисковать своими деньгами, подцепив вирус - пусть используют действительно удобные методы наподобие SMS-авторизации. Не готовы - оставьте им возможность отключить слишком инновационную услугу и по-старинке пользоваться более примитивными, но устойчивыми к взлому механизмами. Вплоть до скрет-карт с одноразовыми паролями. А почему, собственно, нет? А пока мошенники продолжают обворовывать клиентов Приватбанка, пользуясь ошибками то ли самих клиентов, то ли самого инновационного банка страны.
Второй материал посвящён ситуации вокруг MNP. О накале страстей вокруг этой темы свидетельствует крайне болезненная реакция одного из фигурантов публикации, г-на Каргаполова. В своём комментарии на IT-Expert он очень эмоционально возмущается подлостью журналистов, не приводя ни одного внятного возражения к написанному, вспоминает, почему-то, Игоря Бурдыгу и Надежду Гончарук, что выглядит просто странно. Если не сказать сильнее.
Межд тем могу лишь согласиться с вот этим мнением Андрея Осадчука из Киевстар:
"...Большие вопросы вызывает предложенная процедура определения Администратора, полная немотивированных ограничений и, одновременно, лишенная конкретных критериев выбора, требований к оборудованию и ПО претендентов. Администратором почему-то не могут быть госпредприятия или Консорциум операторов, но может быть кто угодно при наличии «эскизного проекта технической реализации предоставления услуг» - данный подход является рисковым для целостности и бесперебойной работы телефонной сети общего пользования, частью которой становятся технические средства Администратора после их подключения к сетям операторов.."
Поехали дальше. Одним из ключевых пунктов противоречий между операторами и НКРС является вопрос о репликации центральной БД перенесенных номеров. Как известно, НКРС собирается запретить операторам использовать локальные копии центральной базы данных. Между тем репликация применяется для того, чтобы уменьшить объём сигнального трафика и повысить общую устойчивость системы. Мне стало интересно найти подтверждения в пользу тезиса НКРС о подобном запрете как распространённой практике. Заодно стало интересно, много ли европейских стран выбрали схему схему Query on Release вместо All Call Query, которую отстаивают операторы?
Изучение документа ECC и CEPT под названием "IMPLEMENTATION OF MOBILE NUMBER PORTABILITY IN CEPT COUNTRIES Updated: October 2005 (Original report: March 2003)" дало такой вот результат:
Несколько неожиданно, не правда ли? Ни одного примера имплементации Query on Release. Хм... Но нам ведь интересно, помимо этого, узнать и то, как часто регуляторы запрещают применять локальные копии данных, так ведь? Не скажу, что искал информацию по этому вопросу очень долго, но найти удалось лишь несколько упоминаний данного аспекта.
Вот что пишут об этом в упомянутом выше документе:
Number databases are typically managed in either a centralised or a distributed manner. The centralised model involves a single reference database containing data for all mobile numbers (or for all ported numbers - it may not be considered necessary to store data for numbers that have not ported). It is usual for this reference data to be copied to operational databases in each participating network on a frequent basis.
Там же, кстати, сказано по поводу Администратора БД:
A centralised number database for mobile number portability is generally managed by a consortium of network operators, which may comprise just the mobile network operators or all network operators which may be involved in routing of calls to mobile numbers. The actual operation and maintenance of a centralised number database may be out-sourced to a third party company which has experience in database operations.
В презентации, которую готовил по данной теме ФГУП ЦНИИС, вопрос репликации БД также упоминается вскользь:
Ну и в статьях на популярных ресурсах я не нашёл ни одного упоминания каких-либо запретов:
A network operator makes copies of the CDB and queries it to find out to which network to send a call.
В общем, аргументация НКРСИ и его добровольных и бескорыстных сторонников выглядит не очень убедительно.
Занятно, что г-н Каргаполов так и не дал внятного ответа на вопросы журналистов о всеукраинской общественной организации «Общество защиты потребителей услуг связи Украины», которую он, якобы, представлял на заседании НКРС, посвящённом обсуждению Положения о переносимости номеров. Похоже, стоит покопать в этом направлении.