17.10.2012

Об идентификации клиента Интернет-банка по IP и MAC-адресу

Мне казалось, что тема идентификации клиента Интернет-банка по IP- и MAC-адресу не стоит и выеденного яйца, но как-то уж активно про нее все говорят, что не высказаться было бы неправильным.

Итак, на сайте Банка России выложен проект указания о внесении изменений в Положение 262-П "Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма". Все указание заключается в единственной поправке - заставить банки идентифицировать своих клиентов еще и по IP- и MAC-адресам, посредством которых физическим лицом осуществляется доступ к банковскому счету.

Я не знаю, кому пришла в голосу столь светлая мысль. Врядли айтишника Банка России, т.к. там работают люди грамотные и они бы сразу сказали, что бессмысленно в условиях динамической IP-адресации идентифицировать физлицо, которое сегодня подключается к Интернет-банкингу из дома, завтра с работы, послезавтра из отпуска или командировки и может использовать для этого смартфон, ноутбук, стационарный компьютер, планшетник и т.п. И врядли спрашивали безопасников Банка России, которые сказали бы, что подменить IP-адрес устройства большого труда не составляет, а уж скрыться за прокси тем более. С MAC-адресом ситуация вообщения забавная - MAC-адрес клиента никогда не отразится в логах систем ДБО, т.к. он туда просто не передается. В этих логах всегда будет фигурировать MAC-адрес ближайшего к серверу ДБО маршрутизатора и, как правило, это будет маршрутизатор банка.

Иными словами, целей идентификации клиентов и выгодопроиобретателей данная инициатива не достигает, а проблем для банков создает немало. Как можно повлиять на нее? Вариантов ровно три - изнутри Банка России, снаружи и обойти вводимые ограничения. Ни первый, ни второй вариант нам недоступны. Остается третий. Поэтому предлагаю просто в досье на клиента писать в поле его IP-адреса:
  • 0.0.0.0 для IPv4
  • ::/0 для IPv6.
Это формально позволит выполнить требования Банка России и Росфинмониторинга, но при этом не наложит никаких ограничений на работу клиентов. При этом регистрировать в логах будет именно тот IP-адрес, с которого будет осуществляться в конкретный момент времени. С MAC-адресом, к сожалению, ничего сделать не удастся - надо будет прописывать просто ближайший адрес маршрутизатора ибо просить клиента назвать его - это будет очень 

26 коммент.:

Mikhail комментирует...

mac адрес может попасть в логи системы ДБО, если его записать на стороне клиента и переслать серверу. Таким же образом можно записать и LAN IP клиента (другой вопрос, что эти данные дадут, если они элементарно меняются, и как помогут защититься от террористов? или есть статистические данные о корреляции между террористической активностью и выбором LAN сети?)

Алексей комментирует...

LAN сети у всех одинаковые, для внутреннего пользования их не так много сделано.

Алексей, мне, почему то показалось, что БР хотят именно заставить системы ДБО читать локальные сетевые параметры пользователей.

Меня 3 года назад уже просили знакомые разработать простейшие схемы "как можно спрятаться" после 2-х статей о том что налоговая выявила афилированность лиц по используемым IP, там речь шла о внешнем IP видимом из Интернет. простейшие схемы придуманные тогда будут работать и сегодня.

vlad_gt комментирует...

mac адрес не только может попасть, а он туда успешно и попадает - к примеру BSS для юриков

Юрий комментирует...

А у меня одного проект не открывается? Хочу уточнить - речь идет про клиентов-физ.лиц, или организаций (пользователей СДБО)?

Сергей Борисов комментирует...

По-моему речь идет о том, что надо собирать публичные IP с которых отправлена платежка, а ЦБ будет публиковать черные списки IP.

Так как большая часть системы противодействия отмыванию доходов построена на черных списках (банков, счетов).

PS: проект уже сняли с сайта.

Алексей Лукацкий комментирует...

Vlad_gt: речь о физиках

vlad_gt комментирует...

В проекте речь и о физиках, и о юриках

Айдар Замалиев комментирует...

Сергей, если "левая" платежка отправляется со скомпрометированного АРМ через легальную ДБО путем удаленного подключения злоумышленника к этому АРМ, то IP-адрес будет верный, а вот сама платежка будет нехорошей.
Мне кажется, подобный подход с фиксированием адресов не решит проблему с мошенничествами в ДБО, а лишь усилит проблемы по ИТ-сервису.
Проблему с мошенничествами надо решать на прикладном уровне.

Евгений Родыгин комментирует...

На адресации можно очень удачно фильтрануть эвенты... Но это пол-дела...

Алексей Лукацкий комментирует...

Айдар: проект не направлен на борьбу с мошенничеством. Он с 115-ФЗ связан.

vlad_gt: Но я-то писал ТОЛЬКО про физиков ;-)

anti-forensics комментирует...

> С MAC-адресом ситуация вообщения забавная - MAC-адрес клиента никогда не отразится в логах систем ДБО, т.к. он туда просто не передается

MAC-адрес уже давно фиксируется различными системами ДБО, включая BS-Client. Сбор таких адресов производится программой на стороне клиента, о чем в мануале к системе ДБО честно сказано.

> бессмысленно в условиях динамической IP-адресации идентифицировать физлицо, которое сегодня подключается к Интернет-банкингу из дома, завтра с работы

Вы путаете техническое понятие идентификации с тем, которое используется в законе. Идентификация в контексте обсуждаемого документа это не фильтрация, а сбор сведений ("мероприятия по установлению", ст. 3 ФЗ "О ПОД/ФТ", т. е. ведение логов, говоря техническим языком). Поэтому вся эта шумиха вокруг изменений есть не более чем раздувание из мухи слона.

Алексей Лукацкий комментирует...

Мы говорим о физиках вообще-то ;-) У меня никакого BS Client нет - я через обычный браузер работаю. И IP у меня постоянно меняется ;-)

anti-forensics комментирует...

Ну так и будут ставить Вам Java-апплет, который все это дело полностью собирает и передает :-)

Алексей Лукацкий комментирует...

На iPhone?

anti-forensics комментирует...

Выхода два:
1. проблемы индейцев шерифа не волнуют;
2. ведение только лога IP-адресов.

Алексей Лукацкий комментирует...

Ну т.е. согласимся, что все-таки это проблема ;-) Уже хорошо! Дальше возникает вопрос. А в досье клиента что писать, если у меня IP меняется постоянно?

Евгений Родыгин комментирует...

Так и писать "у клиента IP меняется постоянно"

anti-forensics комментирует...

> Ну т.е. согласимся, что все-таки это проблема ;-)

Проблема частного случая, ведь подобные логи уже давно записываются по инициативе самих производителей.

> А в досье клиента что писать, если у меня IP меняется постоянно?

Кому писать? Вам ничего не надо писать, пусть банк конспектирует все, что будет иметь место ;-)

Алексей Лукацкий комментирует...

В тексте есть фраза про ведение досье клиента, которые надо привести к требованиям 262-П в течение 30 дней с его выпуска

anti-forensics комментирует...

Закон не запрещает и прямо разрешает банку собирать сведения из иных законных источников, в т. ч. и из сетевых пакетов.

Алексей Лукацкий комментирует...

Еще раз. КАК ЗАРАНЕЕ получить информацию обо всех IP-адресах, с которых я буду пользоваться Интернет-банком?

Евгений Родыгин комментирует...

Алексей - конечно никак!
Чегото мы уже того... Время убиваем и нервы...

anti-forensics комментирует...

Что значит "заранее"? Какой НПА требует это "заранее"? Порядок идентификации физических и юридических лиц подробно описан в Положении ЦБ РФ №262-П (и в ФЗ "О ПОД/ФТ") и допускает сбор некоторых категорий сведений уже во время обслуживания клиента, в т. ч. и пункт 2.8.

Алексей Лукацкий комментирует...

Обсуждаемый в посте проект требует занесения IP и MAC в досье клиента в течение 30 дней после принятия поправок в 262-П

anti-forensics комментирует...

Ну и внесут их в течение одного-двух дней на основании данных из системы журналирования. А новых клиентов кошмарить анкетами не будут, просто на основании п. 2.8 262-П получение IP- и MAC-адресов будет организовано во время проведения ими операций.

Zig Zag комментирует...

Я думаю, что ноги этих изменений растут из МВД. МВД любит запрашивать банки об IP адресации анализируемых лиц, а банки любят отвечать на такие запросы, что не обязаны вести такую информацию (т.к. зачастую отмазывают своих клиентов). Вот МВД видимо решила договориться с ЦБ чтобы обязать банки вести эту информацию. Тогда банки уже не отмажутся и обязаны будут предоставлять эту информацию на запросы МВД.