Безопасные платежи в KIS 2013

[eurisco]

Здравствуйте, Евгений Валентинович!

 

Меня зовут Александр, я являюсь пользователем лицензионной продукции Лаборатории Касперского с 2009 г., когда приобрел коробочную версию KIS 2009. Это было мое первое и последнее приобретение коробки... С тех пор я все покупаю и оплачиваю безналом по банковской карте. К чести сотрудников технической поддержки, я стал одним из немногих пользователей, кому предложили опробовать использование KIS 2013 до его официального выхода в связи с тем, что версия KIS 2012 не решала обозначенных в запросе технических проблем. В своё время мне также предложили использование версии KIS 2012 и также до официального выхода.

 

Версия KIS 2013 мне понравилась, но камнем преткновения стал компонент "Безопасные платежи". Поскольку я довольно часто рекомендую всем продукты Вашей Лаборатории как для частного, так и корпоративного использования, то мне понадобилось понять, что представляет из себя переделанный в "Безопасные платежи" компонент "Безопасный браузер" и каково его назначение в свете официально убранного из KIS 2013 "Безопасного браузера", существовавшего в версии KIS 2012.

 

Итак, вопросы, если позволите...

 

При отключенном режиме "Безопасные платежи" защита пароля от перехвата работает, т.к. она с ним не связана вообще, судя по настройкам программы. И это хорошо. Но в целом назначение режима "Безопасные платежи" мне непонятно.

 

ЗАЧЕМ клиентам очередной виртуализированный "безопасный браузер" для совершения БАНКОВСКИХ операций? Если я правильно понимаю, виртуальная среда на компьютере нужна для предотвращения нанесения вреда физической системе - этим обуславливалось её главное назначение, и компоненты "Безопасная среда", "Безопасный браузер", "Запуск любой программы в безопасном режиме" KIS-2012 были предназначены именно для этого.

 

Но в версии KIS-2013 режим "Безопасные платежи" заточен на работу с банковскими сайтами и интернет-магазинами. Неужели разработчики KIS 2013 всерьез полагают, что ПК клиента может угрожать контент официального сайта банка, передаваемый по шифрованному соединению? Ведь в данном случае речь идет о совершении безопасных платежей на официальном сайте банка (или интернет-магазина) - зачем в данном случае нужен компонент "Безопасные платежи", выступающий посредником между сайтом банка и браузером пользователя (подчеркну, что трафик и так шифрованный благодаря использованию HTTPS, SSL, TLS и прочим протоколам шифрования, и ни банк, ни интернет-магазин не будут вредить своим клиентам в принципе)?

 

Я согласен, что помимо самого "Безопасного браузера" компонент "Безопасные платежи" еще проверяет валидность различных сертификатов сервера и если что - помешает пользователю зайти на сайт, но здесь сразу возникает вопрос: а какой уважающий себя браузер не предупредит пользователя о том, что сайт сомнительный? В том же IE есть подсветка красным и строгая рекомендация не заходить на сайт, если его сертификат не соответствует, и также на это работают компоненты "фильтр SmartScreen" самого IE и "фильтр фишинга" KIS 2013. Так что, защита от фишинковых сайтов уже реализована надежно и, на мой взгляд, особого смысла в "Безопасных платежах" нет.

 

Я бы еще мог представить идеальную ситуацию, когда клиент приходит в Интернет-кафе, чтобы купить билет на поезд. Садится за ПК, где владельцем интернет-кафе, заботящимся о информационной безопасности, был предусмотрительно установлен на все ПК KIS-2013 с включенным режимом "Безопасные платежи". Клиент покупает билет на поезд через защищенный браузер в режиме "Безопасных платежей" будучи полностью уверенным, что номер его кредитной карты в системе ChronoPay никому не достался...

 

Но это всё утопия по ряду причин:

1. Кто может украсть номер карты клиента, если на ПК стоит KIS-2013, 2012, 2011, 2010 или же вообще какой-нибудь антивирус типа Eset NOD32 Smart Security? Вирусов на таком ПК нет и флешки клиентов на вирусы проверяются автоматически.

2. Оформление и оплата билета на поезд идут по шифрованному интернет-соединению через HTTPS, SSL, TLS и пр., и ни РЖД, ни ChronoPay не будут вредить компьютеру клиента!

3. Уважающие себя сайты препятствуют сохранению браузером персональной информации о клиенте для автозаполнения вне зависимости от версии браузера (пример - страница авторизации Сбербанк ОнЛ@йн). Но даже если информация о номере кредитной карты попала в список автозаполнения, то такую информацию можно удалить, почистив за собой кэш и куки браузера, либо вообще оформлять покупку билетов через режим In-Private того же IE 9, в котором информация об истории просмотра, а также кэш и куки на диск не сохраняются.

4. Если на ПК нет IE-9, но есть, к примеру, браузер Яндекс.Интернет, то клиент может оформить покупку билета через "Защищенный режим" (напомню, мы рассматриваем ситуацию с интернет-кафе, а не домашним ПК). Но там сохраняется история и поля автозаполнения! Смысл этого?! Вот безопасный браузер KIS-2012 был похож на режим In-Private + функция защиты системы от вредоносного контента сомнительных сайтов через виртуализацию, а здесь чего? Сомнительные сайты, от которых надо защищаться - это банковские что-ли? Пробовал перехитрить режим "Безопасных платежей" и с сайта Сбербанка через адресную строку браузера уйти на действительно сомнительные сайты - не получилось: браузер завис. Только в обычном режиме работы браузера получается лазить по сомнительным сайтам. :-(

5. Если на ПК интернет-кафе нет KIS-2013 в частности, или вообще нормального антивирусника, то там действительно могут обитать черви, трояны и прочая нечисть, которая может украсть персональную информацию клиента в момент ввода, к примеру. И как клиенту защищаться?

 

В общем, если бы режим "безопасных платежей" KIS-2013 унаследовал всё лучшее от "безопасного браузера" KIS-2012 (виртуализацию + препятствование сохранению информации на ПК клиента, в том числе куки, кеш и историю), а также работал бы в режиме Portable Application, чтобы клиент мог взять его с собой на флешке в интернет-кафе, то это была бы ВЕЩЬ.

 

Надеюсь, получить от Вас ответ, чтобы я смог объяснить назначение данного режима (компонента) Вашим потенциальным клиентам при рекомендации продукта.

 

Спасибо.

 

 

Строгое предупреждение от модератора cathode

Внимание! Евгений Касперский не оказывает техническую поддержку. Тема перенесена.

[vit9696]

Доброго времени суток, к сожалению, Евгений Валентинович не занимается поддержкой продуктов лично.

Как бета тестер, могу сказать, что данный компонент не только предохраняет банковский платёж "снаружи", но и изнутри, учитывая, что на компе может быть вредоносный софт, например, троян ведущий запись с экрана (несколько эксцентрично, но уже реально), ещё не детектирующийся продуктами ЛК. Согласитесь, если на Вас будет произведена специализированная атака, шансов, что вирус будет в басах минимален. Для этого используется комплекс мер:

а) Проактивная защита

б) Защита ввода с клавиатуры

в) Компонент Безопасные платежи, изолирующий браузер

Изменено 6 октября, 2012 пользователем vit9696

[eurisco]

Если что-либо в тайне от пользователя ведет запись с экрана, то безопасные платежи не помогут!

 

В архиве два файла - пошаговая запись воспроизведения ситуации и графический файл скриншота, сделанный с клавиатуры клавишей PrintScreen. Архив загружен сюда: http://files.mail.ru/4YX9PV - а также вложен в сообщение.

 

Так что, пока не убедили.

 

Особенно в свете вот этого, где сказано, что браузер ничего не изолирует от операционной системы:

http://forum.kasperskyclub.ru/index.php?au...;showentry=1811

Безопасные_платежи.zip

Изменено 7 октября, 2012 пользователем eurisco

[vit9696]

Связи с тем, что ножницы не запустились, я позволю себе остаться при своём мнении. Более того, нажатие Print Screen - было действием пользователя, запустившего безопасные платежи, а не какой-либо программы. Однако, насчёт пошаговой записи проблемы сказать ничего не могу.

Под словами "изолирующий браузер", я имел в виду не изоляцию системы от браузера, что указано в блоге, а изоляцию браузера от действий чего-либо из системы в его отношении.

 

В любом случае, это лишь мои наблюдения, возможно, я в чём-то заблуждаюсь. Подождём ответа квалифицированных специалистов.

[eurisco]

Уверяю Вас, если пользователь смог нажать PrintScreen и запечатлеть экран, то сможет и любая программа, не говоря уже о той, что записывает действия пошагово. И на этом фоне запрет на запуск ножниц умиляет! Особенно если учесть, что их нет в Windows XP, а также в начальной и домашней базовой версиях Windows 7, которая устанавливается сейчас на большинство продаваемых ПК.

[Maratka]

Уверяю Вас, если пользователь смог нажать PrintScreen и запечатлеть экран, то сможет и любая программа, не говоря уже о той, что записывает действия пошагово.

 

Дабы Вас не утруждать - пожалуйста подсказка:

 

Разрешаю Вам восстановить пароль по скриншоту, и снять все деньги, которые найдете.

Изменено 8 октября, 2012 пользователем Maratka

[MASolomko]

Если что-либо в тайне от пользователя ведет запись с экрана, то безопасные платежи не помогут!

Для предоставление информации по одной ошибки, которая проявляется так же при использовании компонента "Безопасные платежи" я использовал стандартное средство записи действий по воспроизведению неполадок и эта программа не смогла заполучить снимки экрана из-за KIS 2013. Поэтому не всякая программа сможет обойти защиту для получения снимков

 

если пользователь смог нажать PrintScreen и запечатлеть экран

Это сделано специально

 

сможет и любая программа, не говоря уже о той, что записывает действия пошагово.

Не сможет. Компонент "Контроль программ" это должен предотвратить (смотрите мой первый ответ в этом сообщении).

[mike 1]

Не сможет. Компонент "Контроль программ" это должен предотвратить (смотрите мой первый ответ в этом сообщении).

А если у такой программы есть Цифровая подпись? Такие программы обычно попадают в группу "Доверенные".

[Денис-НН]

Доверенные программы тоже не могут снять скриншот из "безопасных платежей". Есть цифровая подпись, нет- без разницы.

[eurisco]

Доверенные программы тоже не могут снять скриншот из "безопасных платежей". Есть цифровая подпись, нет- без разницы.

 

Могут, и еще как. Смотрим:

http://files.mail.ru/KLH5DS

Изменено 9 октября, 2012 пользователем eurisco

[gecsagen]

Смотрим:http://www.kaspersky.ru/news?id=207733828

[Zaitsev Oleg]

Уверяю Вас, если пользователь смог нажать PrintScreen и запечатлеть экран, то сможет и любая программа, не говоря уже о той, что записывает действия пошагово. И на этом фоне запрет на запуск ножниц умиляет! Особенно если учесть, что их нет в Windows XP, а также в начальной и домашней базовой версиях Windows 7, которая устанавливается сейчас на большинство продаваемых ПК.

Важно учесть, что KIS различает действия пользователя и действия программ. В частности, пользователь имеет право нажать PrintScreen во время безопасного платежа и скриншот будет сделан. А вот некая программа во время запущенного сеанса безопасного платежа - не может. Пользователь может ввести в окне работы с платежной системой любой (в том числе ошибочный) счет получателя, сумму и т.п. - и KIS никак этому не помешает, потому как это активность пользователя. А вот попытки некоей программы как-то там поуправлять окном платежной системы будут пресекаться. Конечно можно найти некую хитроумную программу, которая сможет сделать скриншот - но ее ведь для начала нужно установить, такой программе потребуется установить свои драйвера и т.п. - и на стадии установки сработает контроль программ, проактиваня защита, Firewall и т.п.