Знаток Финансов

Технологии на страже безопасности клиентов

Юридическая сторона вопроса

В ЕГРЮЛ сделка отражения пока не нашла. В реестре ООО «Код
безопасности» на 85% все еще принадлежит Галине
Боковой, на 10% — Петру Ефимову,
который с января 2015 г. заявлен гендиректором АО «Научно-инженерное
предприятие “Информзащита”», а на 5% — Алле Головой. Гендиректором компании с
декабря 2012 г. выступает Андрей Голов.

Новый владелец «Кода безопасности» Филипп Генс

В беседе с CNews представители
«Ланита» сообщили, что переговоры о вхождении Филиппа Генса в уставный капитал «Кода
безопасности» велись именно с Андреем Головым, а не с основным соучредителем компании Боковой.
В отношении последней пресс-служба «Ланита» сообщила, что не располагает
информацией о том, кто она и имеет ли отношение к «Информзащите».

По ЕГРЮЛ Боковой принадлежат доли еще в двух ИТ-структурах:
80% в ООО «Национальный аттестационный центр» и 35% в ООО «Гетмобит».

В «Ланите» отметили, что Генсу не пришлось выкупать доли
кого-либо из соучредителей. «Компания увеличила уставный капитал; Генс выкупал
новые доли, — отметили представители интегратора в разговоре с CNews. — В результате сделки
доля Ефимова и Головой не изменилась (они также довнесли вклады в уставный
капитал). Доля Боковой снизилась до 0,84%, которые будут в ближайшее время
выкуплены Генсом».

На основании изложенного не сложно сделать вывод, что
уставный капитал «Кода» был увеличен в 100 раз. По ЕГРЮЛ он ранее составлял 100
тыс. руб. То есть теперь он вырос до 10 млн руб., а значит на 84,15% приходится
8,415 млн руб.

В «Ланите» говорят, что сделка уже закрыта. Ее отражение в
ЕГРЮЛ ожидается в период с 20 по 25 декабря 2019 г.

Инструменты для тестирования защищенности

Мы подготовили список инструментов для проверки безопасности веб-приложений, которые обязательно пригодятся для снижения риска взлома сайтов. Сканирование помогает поддерживать информационную безопасность магазина в актуальном состоянии. Наши технические специалисты регулярно включают подобные проверки в мониторинг состояния магазина.

Приложения и фреймворки

1.OpenVAS сканирует узлы сети на наличие уязвимостей и позволяет управлять уязвимостями.

2.OWASP Xenotix XSS Exploit Framework сканирует ресурс на возможность эксплуатации XSS-уязвимостей.

3.BeEF (Browser Exploitation Framework) позволяет выявить слабые места приложения, используя уязвимости браузера. Данный инструмент автоматизации тестирования приложений использует векторы атак на стороне клиента для проверки безопасности. Может вызывать команды браузера, такие как перенаправление, изменение URL-адресов, создание диалоговых окон и т.д.

4.Google Nogotofail – средство тестирования безопасности сетевого трафика. Проверяет приложение на наличие известных уязвимостей TLS/SSL и неправильных конфигураций. Сканирует SSL/TLS-шифрованные соединения и проверяет, являются ли они уязвимыми для атак. Может быть настроен как маршрутизатор, VPN-сервер или прокси-сервер.

Онлайн-сервисы

1. SecurityHeaders.io проверяет на наличие и корректность заголовков ответа сервера, отвечающих за безопасность веб-приложения.

2. Observatory by Mozilla сканирует ресурс на наличие проблем безопасности. Кроме своих результатов, при выборе соответствующей опции, собирает и добавляет к отчету аналитику со сторонних сервисов анализа защищенности.

3. SSL Server Test выполняет анализ SSL-конфигурации веб-сервера.

И многие другие.

Специальные утилиты для Magento

Есть также ресурсы, которые идеально подойдут именно для проверки magento-приложений.

1.Mage Report — бесплатная проверка сайта на уязвимости.

2. Foregenix — Global Cybersecurity Expert — также проверяет на распространенные уязвимости, отправляя отчет в виде pdf на почту.

3. Sucuri SiteCheck — полезная утилита для быстрого сканирования.

4. Magescan — сканер для установки на сервер.

5. Magento Security Scan Tool — новейший бесплатный инструмент для сканирования сайта на предмет угроз безопасности. Активизируется в личном кабинете.

CVV2 и CVC2 — что это такое

Обычно, когда пытаются определить, что такое CVV или CVC, на самом деле, имеют ввиду код CVC2 или CVV2. При оплате услуг онлайн платежные системы в целях удостоверения безопасности транзакции помимо имени и фамилии держателя карточки, срока ее действия и номера просят: «Введите CVC2 (CVV2) код!»

Что такое CVV2 или CVC2 на банковской карте – это в платежной системе Visa «Card Verification Value 2», а у Mastercard, соответственно, «Card Validation Code». Это код безопасности на банковской карте.

Очевидно, что код CVV2 (CVC2) – это еще один шифр, призванный обеспечить безопасность при осуществлении расчетов дистанционным способом, например, в интернете. Данные шифры используются для идентификации карточки при ее физическом отсутствии, а равно при отсутствии ее держателя в непосредственно близости от платежного терминала.

Если посторонние люди, включая операторов или продавцов, просят: «Введите CVC2 CVV2 код!» — нужно понимать, что это незаконно. Данные сведения представляют собой секретную информацию, которую может знать и вправе использовать только владелец. CVC2 код (CVV2 код) карты вводится в форму оплаты покупки при оформлении онлайн.

Также нужно понимать, что СVC2 и CW2, CVC и CVV коды – это не pin-код. Данные шифры нельзя поменять, нельзя выбрать.

Что такое на карте CVV2 (CVC2) так это последние три цифры на обратной стороне банковской карты. Эмитенты стараются визуально выделить их, сделать так, чтобы было сразу понятно, где находится код безопасности на банковской карте. Обычно можно легко определить, где на карте CVV2, или где на карте CVC2: данные коды всегда размещены на обороте карточного бланка и либо напечатаны жирным шрифтом, либо расположены на участке, отличающемся по тону от основного фона.

Что такое безопасность веб-приложений и можно ли добиться максимальной защищенности?

Общая стратегия безопасности программного обеспечения основывается на трех основных принципах:

конфиденциальность — сокрытие определенных ресурсов или информации;

целостность — ожидание, что ресурс может быть изменен только соответствующим способом определенной группой пользователей; а в случае, если данные повреждаются или неправильно изменяются, должна быть предусмотрена процедура восстановления;

доступность — требования о том, что ресурсы должны быть доступны авторизованному пользователю, внутреннему объекту или устройству.

Все сайты электронной коммерции являются привлекательными целями для хакеров из-за личной и платежной информации, необходимой для совершения продажи. Даже если система не обрабатывает транзакции по картам напрямую, взломанный сайт может перенаправить клиентов на ложную страницу или изменить заказ, прежде чем он будет передан в платежный процессор. Взлом может иметь долгосрочные последствия как для покупателей, так и для продавцов. Клиенты могут понести финансовые потери, в то время как продавцы могут столкнуться с повреждением своей репутации, потерей товаров и угрозой судебных исков.

Можно ли добиться максимальной защищенности вашего магазина? Да, это возможно, если создать магазин на надежной CMS системе, тщательно подобрать серверное окружение и использовать лучшие практики безопасности.

«Код безопасности» сменил владельца

Как стало известно CNews, глава и владелец интегратора «Ланит» Филипп Генс приобрел долю в 84,15% в уставном капитале компании
«Код безопасности», разработчика программных и аппаратных средств защиты
информации — экс-структуре «Информзащиты».

В «Ланите» заверяют, что новый актив примкнет к группе как
независимая бизнес-единица. Кадровых перестановок и изменений, связанных со
структурой управления, в «Коде безопасности» обещано не осуществлять. Партнерская
сеть компании, ее взаимоотношения с партнерами и клиентами также останутся
неизменными.

Сотрудничество «Ланита» с «Кодом» в части продвижения
продуктов обеих компаний запланировано как на российском, так и на
международном рынках. Стороны ожидают, что сделка приведет к синергии: «открытому
обмену опытом, расширению ресурсной базы, экономии на масштабе, а также к росту
прибыли за счет кросс-продаж».

Сумму сделки в «Ланите» не раскрывают. «Срок возврата инвестиций
сложно оценить точно, — добавляют в компании. — Корректировки могут внести
совместные возможности сторон сделки и реализация синергии. Компанию “Код
безопасности” оцениваем крайне позитивно. Горизонт планирования — пять лет».

Безопасность в Magento

Magento — крупнейшая CMS, которой пользуются тысячи магазинов по всему миру. Платформе доверяют Philips, Ford, Men Shealth, Ашан, Togas и другие. Поэтому вопросы безопасности, наряду со стабильностью и функциональностью, находятся на первом месте у разработчиков Magento.

Ниже даны ссылки на подробные руководства о безопасности приложений на Magento, списки полезных рекомендаций и расширений для обеспечения максимального уровня защиты. Вы можете применить их на своем магазине, исходя из своих потребностей.

Лучшие расширения для безопасности Magento: https://serverguy.com/magento/best-5-magento-extension-security/

Самый свежий гайд по безопасности от разработчиков Magento, включающий лучшие практики безопасности, новые решения и программы для улучшения защищенности магазина:  https://onilab.com/blog/magento-2-security-guide/

Родом из «Информзащиты»

Исторически «Код безопасности» (как минимум с конца 2009 г.)
выступал дочерней структурой «Информзащиты». О связи названных структур еще в
декабре 2018 г. сообщал вице-президент «Информзащиты» Леонид Ухлинов. Даже в вышедший в конце ноября 2019 г. ИБ-рейтинг
CNews «Информзащита» подала данные о своей выручке за 2018 г. с учетом выручки
«Кода безопасности».

Однако, после выхода этого рейтинга сам «Код безопасности» заверил
CNews, что уже является независимой структурой, потому что «компания не входит в состав ГК
«Информзащита» с февраля 2018 г.».

«Информзащита» тогда же прокомментировала эти заявления
следующим образом. «На расчетный период
рейтинга компании консолидировали свои выручки для участия в рейтингах, —
отметили собеседники CNews. — На “Код безопасности” приходится порядка 30% во
всей выручке ГК».

В связи с этим стоит отметить, что общая выручка «Информзащиты»
за рассматриваемый период была заявлена по линии информбезопасности на уровне 8
млрд руб.

  • Короткая ссылка
  • Распечатать

Проблема безопасности использования банковских карточек

У нас в стране данная практика весьма затруднена, поскольку отправитель для подтверждения операции запрашивает код безопасности банковской карты, а вот получатель должен передать все реквизиты, включая данный шифр:

  • письмом;
  • в ходе телефонных переговоров;
  • по факсу.

Фишинг

Что такое код CVV2 на банковской карте, его роль в обеспечении безопасности банковского счета отлично понимают злоумышленники: для совершения противоправных действий одних реквизитов карточки недостаточно, необходимо получить этот секретный код. Только после этого можно воспользоваться карточным счетом.

Для совершения операции с пластиковыми карточками злоумышленникам необходимы ее реквизиты. Данная информация указывается непосредственно на бланке данного платежного инструмента, то есть, завладев им, можно управлять счетом.

Но есть и иной путь, известный как фишинг, когда, маскируясь под официальные, хорошо зарекомендовавшие себя сайты, мошенники делают массовую рассылку, в тексте которой просят держателей выдать свои логины, пароли, номера карт, код CVV2 и так далее. Злоумышленники направляют людей на поддельные интернет-страницы, пользуясь слабой осведомленностью граждан в сфере сетевой и финансовой безопасности.

Введя свои данные, выдав, что такое CVC2 (CVV2) код, можно лишиться всех своих накоплений, зачисленных на карточном счете.

В таком случае спасти может только немедленная блокировка карточки.

В целях борьбы с такими «специалистами» обновленные версии интернет-браузеров оснащены функцией антифишинга, предупреждающей переход пользователя на подозрительные ресурсы, на которых опасно сообщать секретную информацию, включая коды банковских карт.

3d-Secure

Активно борются с мошенниками и платежные системы. Они применяют технологию 3d-Secure: она известна как Verified by Visa и MasterCard Secure Code. Это новейший метод защиты, многократно повышающий безопасность расчетов в интернете.

Суть технологии заключается в том, что после ввода реквизитов карточки, CW2 (CVC2), выясняется, что это недостаточный для осуществления полноценной проверки объем информации: нужно дополнительно ввести одноразовый пароль. Он представляет собой комбинацию цифр, значение которых приходит на телефон отправителя. Если их не ввести, то одного кода CVV2 на карте будет мало для подтверждения операции. Нужен еще и номер, присланный на телефон владельца карточного счета.

Несмотря на то что данный метод многократно повышает степень защиты банковских счетов, не все банки применяют его. Хотя использование 3d-Secure и является обязательным требованиям к участникам всех платежных систем.

Добавить комментарий