вторник, 5 июля 2011 г.

Безопасная работа с ДБО

Во время работы в банке, возникла у меня идея обезопасить работу с ДБО. Идея была следующая. Сделать маленький Linux дистрибутив из всего ПО только браузер с Java. Сделать возможность грузить дистрибутив с флэшки. При этом дать возможность грузить ее как отдельную ОС, так и внутри Windows, с помощью какой нибудь VirtualBox. Стал искать маленькие дистрибутивы. Из самых известных смотрел DSL (DamnSmallLinux). Размер дистрибутива 50 Мб. Внутри множество всякого ПО. Красота. Однако нет Java. А ее установка по умолчанию прибавляла около 60 Мб. Получалось не очень красиво. Далее смотрел SLAX. Там очень неплохой онлайн сборщик дистрибутива. В результате получалось около 120 Мб. Кроме этих, еще смотрел несколько маленьких сборок. В целом они все примерно похожи. С помощью Linux Live USB можно дистрибутив положить на флэшку и рядом положить VirtualBox. Правда это сразу добавляет еще порядка 60 Мб. Зато позволяет загружаться с флэшки или работать внутри Windows. 
В результате получилось следующее. Загружаемся в Linux (отдельно или через VirtualBox). Там ограничены права по максимуму. Плюс сама система не очень подвержена заразе. Запускаем браузер(например FireFox). Через него заходим в ДБО. Обычно ДБО работает через SSL. Соответственно, если мы работаем из VirtualBox и заражен основной компьютер, то зловред ничего не видит, т.к. на выходе SSL. Правда возможна атака MITM. Но тогда должна сработать защита браузера, т.к. скорее всего сертификат не будет совпадать с сайтом, и будет не доверенный. Хотя после взлома Comodo возможно будут доверенными. :-)
Внутри Linux все закрыто. Да, еще забыл, в Linux настраиваем межсетевой экран на доступ только к серверам ДБО. Это еще один рубеж защиты. Т.к. большинство зловредов собирает данные и отправляет их себе в базу. А тут выход только в ДБО. Ну и еще надо предварительно заразить Linux.
В общем на мой взгляд довольно безопасно. Правда полноценного тестирования не проводил. И сейчас руки не доходят. Может и вылезет какая дыра. Но на первый взгляд не должно. Нужно только довести до ума сделать какой нибудь интерфейс для начальной настройки (всякие прокси, адреса серверов ДБО и т.д.). Правда с этим у меня беда. Давно уже не программировал. Но что нибудь придумаем.

3 комментария:

  1. Андрей, день добрый. Хотелось бы узнать дальнейшее развитие... тестировали и что из этого получилось... и кстати на каком дистрибутиве Linux остановились?

    ОтветитьУдалить
  2. Добрый день.
    Серьезного тестирования не проводил. На вскидку получалось неплохо. В лоб все вроде закрыто. Однако в связи со сменой работы и рождением ребенка, пока нет времени возобновить работу. Надеюсь, через некоторое время разгребусь на работе и дочка подрастет и тогда буду пробовать дальше.

    ОтветитьУдалить
  3. Ясно, поздравляю с рождением ребёнка. Я вот тоже хочу попробовать такой клиент ДБО-шный на Linux собрать, и распространять среди клиентов банка как дополнительную защиту от зловредов.

    ОтветитьУдалить